Kudo

THP-3 - Inventario de la Cadena de Suministro

Control de identificación, clasificación y gestión de proveedores y terceros

Definición de Control

Es necesario definir procesos para gestionar los riesgos de seguridad asociados a la cadena de suministro, asegurando que los productos y servicios externos que afecten a la organización estén debidamente controlados. Es necesario mantener un registro completo y actualizado de todos los proveedores, socios y terceros con acceso a sistemas, datos o infraestructura, clasificándolos según su criticidad y nivel de acceso, y realizar due diligence de seguridad antes de su incorporación verificando sus certificaciones. Es necesario revisar periódicamente este inventario, verificar los antecedentes del personal según su nivel de acceso, y asegurar la devolución de los activos organizacionales al finalizar cualquier relación.

Requisitos

Requisito 1

Mantenemos un registro completo y actualizado de todos los proveedores, socios y terceros con acceso a sistemas, datos o infraestructura de la organización.

Requisito 2

Incluimos en el inventario a los proveedores de software, servicios cloud, servicios de seguridad, integradores y contratistas.

Requisito 3

Registramos para cada proveedor: nombre, tipo de servicio, nivel de acceso, datos compartidos, criticidad, responsable interno, certificaciones vigentes y fecha de última evaluación.

Requisito 4

Realizamos due diligence de seguridad como parte obligatoria del proceso de incorporación de nuevos proveedores.

Requisito 5

Evaluamos a los nuevos proveedores mediante cuestionarios definidos y verificamos sus certificaciones relevantes.

Requisito 6

Clasificamos los proveedores por nivel de criticidad y acceso para determinar la profundidad del due diligence requerido.

Requisito 7

Nos aseguramos de que los procesos, productos o servicios externos que afecten al sistema de gestión de seguridad de la información estén debidamente controlados.

Requisito 8

Nos aseguramos de que empleados y terceros devuelvan todos los activos de la organización que tengan en su poder cuando cambien de rol o finalicen su relación con la organización.

Requisito 9

Definimos y aplicamos procesos y procedimientos para gestionar los riesgos de seguridad asociados a la cadena de suministro de productos y servicios tecnológicos.

Requisito 10

Verificamos los antecedentes de todos los candidatos antes de contratarlos, cumpliendo con las leyes y normas aplicables y de forma proporcional al nivel de acceso a la información que tendrán.

Requisito 11

Revisamos el inventario de proveedores con una frecuencia definida para identificar los que ya no cumplen los requisitos de seguridad.

Requisito 12

Verificamos los antecedentes del personal de forma continua, cumpliendo con las leyes y normas aplicables y según los riesgos identificados.

On this page