Международный стандарт iso 17799
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- 4.3 Контракты на аутсорсинг
- 4.3.1 Требования к безопасности в контрактах на аутсорсинг
| ISO/EIC 17799:2000
© ISO/EIC 2000, © Перевод компании Информзащита 2004 21 t) ф) соглашения о об оповещении об обнаружении, уведомлении о происшедших инцидентах и нарушений безопасности, а также их расследовании u) х) участие субподрядчиков в деятельности сторонней организации. 4.3 Контракты на аутсорсинг Цель: Обеспечить безопасность информации в том случае, когда ответственность за обработку информации возлагается на другую организацию. Контракты на аутсорсинг должны разрабатываться с учетом рисков, мер безопасности и процедур для информационных систем, сетей и/или рабочих мест. 4.3.1 Требования к безопасности в контрактах на аутсорсинг Требования к безопасности в организации, возлагающей на другую организацию обязанности по контролю всех или части своих информационных систем, сетей и/или рабочих мест, должны быть оговорены в контракте, заключенном между сторонами. В частности, контракт должен включать следующие сведения: a) как будет обеспечиваться соответствие требованиям законодательства (например, законам о защите данных); b) какими мерами будет гарантироваться, что всем сторонам, участвующим в контракте на аутсорсинг, в том числе субподрядчикам, известны их обязанности, связанные с безопасностью; c) методы обеспечения и проверки целостности и конфиденциальности бизнес-ресурсов организации; d) физические и логические средства, которые должны использоваться для обеспечения доступа к конфиденциальной информации, связанной с деятельностью организации, только авторизованных пользователей; e) методы поддержки доступности сервисов в чрезвычайных обстоятельствах; f) уровни физической безопасности, которые должны быть обеспечены для оборудования, предоставляемого другой стороной; g) право на аудит. Кроме того, следует принять во внимание то, что условия, перечисленные в разделе 4.2.2., также должны быть включены в данный контракт. Контракт должен давать возможность более подробно описать требования к безопасности и процедуры в плане управления безопасностью, который будет принят обеими сторонами. Хотя контракты на аутсорсинг могут привести к возникновению ряда сложных вопросов в области безопасности, описанные в данном своде правил рекомендации могут послужить основой для согласования структуры и содержания плана управления безопасностью. |