Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamentos da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes.
Termos considerados para inclusão no acordo:
- Política de segurança da informação;
- Procedimentos para proteger os ativos da organização;
- Mecanismos e controles para proteção física;
- Proteção contra software malicioso;
- Confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante aos ativos;
- Restrições em relação a cópias ou divulgação de informação;
- Treinamento dos usuários e administradores, procedimentos e segurança da informação;
- Conscientização dos usuários;
- Responsabilidade com relação a manutenção de software e hardware;
- Processo claro e definido de gestão de mudanças;
- Políticas de controle de acesso;
- Descrição do produto ou serviço que esta sendo oferecido;
- Direito de monitorar e revogar qualquer atividade relacionada com os ativos da organização;
- Respectivas obrigações das partes com o acordo;
- Condições de renegociação ou encerramento de acordos
Os acordos podem variar consideravelmente para diferentes organizações e entre os diferentes tipos de terceiros. Portanto, convém que seja tomados cuidados para incluir nos acordos todos os riscos identificados e os requisitos de segurança da informação.
Nenhum comentário:
Postar um comentário