Preços
Teste

Segurança da cadeia de abastecimento

A tua organização deve estabelecer procedimentos de gestão dos fornecimentos para garantir a segurança dos fornecimentos e a cibersegurança quando utiliza fornecedores diretos ou prestadores de serviços cujos serviços podem afetar a prestação de serviços críticos da tua organização

Segurança da cadeia de abastecimento

Tens de garantir a segurança da cadeia de abastecimento da tua organização , para que a organização e os seus produtos ou serviços não sejam afectados negativamente por vulnerabilidades ou incidentes nos fornecedores ou nos seus produtos e serviços.

Requisitos

A tua organização tem de estabelecer procedimentos de gestão dos fornecimentos para garantir a segurança dos fornecimentos e a cibersegurança quando utiliza fornecedores diretos ou prestadores de serviços cujos serviços podem afetar a prestação de serviços críticos da tua organização. Deve ser estabelecida uma abordagem baseada no risco para determinar a forma de gerir os teus fornecedores e a importância da entrega de cada fornecedor. Os teus procedimentos devem ajudar a identificar e avaliar os riscos dos fornecedores e estabelecer acordos que garantam que os fornecedores cumprem os requisitos da tua organização.

Seleção de fornecedores

Deves certificar-te de que os fornecedores que escolhes são capazes de prestar os serviços necessários. Por conseguinte, deves definir critérios claros para a seleção de fornecedores e prestadores de serviços, que podem incluir

  • as práticas de cibersegurança dos fornecedores e prestadores de serviços, incluindoprocedimentos de desenvolvimento seguro,
  • a capacidade do fornecedor ou prestador de serviços para cumprir os requisitos de cibersegurança da tua organização,
  • a capacidade do fornecedor para manter um nível adequado de segurança do aprovisionamento,
  • A capacidade da tua organização para escolher um fornecedor alternativo e limitar as dependências de fornecimento,
  • a estabilidade financeira do fornecedor e os riscos geopolíticos.

Contratos

Deves também garantir que os fornecedores mantêm medidas adequadas que cumprem os requisitos de segurança estabelecidos nos contratos, que podem ser apoiados por acordos de nível de serviço e mecanismos de auditoria.

Com base na avaliação dos riscos, os contratos com fornecedores diretos ou prestadores de serviços podem incluir as seguintes especificações:

  • O fornecedor e os serviços prestados devem cumprir todos os requisitos legais e de segurança aplicáveis.
  • As competências e a formação esperadas do pessoal dos fornecedores devem ser definidas.
  • Devem ser efectuados controlos dos antecedentes do pessoal que trabalha com bens críticos.
  • Os fornecedores devem notificar imediatamente a organização de incidentes relevantes e ajudar na notificação obrigatória em caso de incidentes graves.
  • Os fornecedores diretos e os prestadores de serviços devem cooperar com as autoridades de supervisão se a organização estiver sujeita a supervisão.
  • A organização deve ter direitos de auditoria ou os fornecedores devem fornecer relatórios de auditoria.
  • Os prazos de entrega dos serviços, incluindo as reparações, devem ser acordados.
  • As vulnerabilidades que podem representar um risco para a rede e os sistemas de informação da organização devem ser abordadas.
  • Se os subcontratantes forem autorizados, as suas responsabilidades e as medidas necessárias devem ser definidas.
  • No termo do contrato, os fornecedores devem devolver ou eliminar de forma segura os dados.

Deves considerar a aplicação destes requisitos de segurança aos fornecedores existentes, bem como durante o processo de seleção de novos fornecedores e ao planear, preparar, gerir e encerrar a aquisição de serviços, sistemas ou produtos de TI.

Documentação

A sua organização deve rever regularmente os seus procedimentos de gestão de fornecedores e acompanhar quaisquer alterações nas práticas de cibersegurança dos fornecedores diretos ou prestadores de serviços. As revisões devem também ser efectuadas após incidentes que tenham afetado, ou possam afetar, a segurança das redes e dos sistemas de informação da sua organização. Os resultados destas análises devem ser sempre documentados.

Teste RGPD

Vê se conheces bem o RGPD.

  • Vais responder a 13 perguntas sobre o RGPD.
  • Demora apenas 1-2 minutos.
  • Normalmente, os especialistas respondem corretamente a todas as 13 perguntas.
Iniciar o teste

Teste gratuito

Entraremos em contacto contigo por e-mail o mais rapidamente possível.