3.4.1 إدارة العقود والبائعين
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 |
Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right
المبدأ
يجب على المؤسسة العضو تحديد ضوابط الأمن السيبراني المطلوبة واعتمادها وتنفيذها ومراقبتها ضمن عمليات إدارة العقود والبائعين.
الهدف
التأكد من استيفاء متطلبات الأمن السيبراني المعتمدة للمؤسسة العضو على النحو المناسب قبل توقيع العقد، ومراقبة وتقييم الامتثال لمتطلبات الأمن السيبراني خلال دورة حياة العقد.
اعتبارات التحكم
| 1. | يجب تحديد متطلبات الأمن السيبراني واعتمادها وتنفيذها وتبليغها ضمن عمليات إدارة العقود والبائعين. | |
| 2. | تجب مراقبة الامتثال لعملية إدارة العقود والموردين. | |
| 3. | يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة العقود والبائعين وتقييمها بشكل دوري. | |
| 4. | يجب أن تشمل عمليات إدارة العقود والبائعين ما يلي: | |
| أ. | ما إذا كانت مشاركة وظيفة الأمن السيبراني مطلوبة بشكل فعال (على سبيل المثال، في حالة العناية الواجبة)؛ | |
| ب. | متطلبات الأمن السيبراني الأساسية التي يجب تطبيقها في جميع الحالات؛ | |
| ج. | الحق في إجراء مراجعات وتدقيقات للأمن السيبراني بشكل دوري. | |
| 5. | يجب أن تشمل عملية إدارة العقد متطلبات: | |
| أ. | تنفيذ تقييم مخاطر الأمن السيبراني باعتباره جزء من عملية الشراء؛ | |
| ب. | تحديد متطلبات الأمن السيبراني المحددة باعتبارها جزء من عملية المناقصة؛ | |
| ج. | تقييم ردود البائعين المحتملين بشأن متطلبات الأمن السيبراني المحددة؛ | |
| د. | اختبار متطلبات الأمن السيبراني المتفق عليها (القائم على المخاطر)؛ | |
| هـ. | تحديد عملية الاتصال أو التصعيد في حالة وقوع حوادث الأمن السيبراني؛ | |
| و. | التأكد من تحديد متطلبات الأمن السيبراني للخروج من العقد، أو إنهائه، أو تجديده (بما في ذلك اتفاقيات الضمان إن وجدت)؛ | |
| ز. | تحديد اتفاقية السرية المتبادلة. | |
| 6. | يجب أن تشمل عملية إدارة البائعين (أي: إدارة مستوى الخدمة) متطلبات: | |
| أ. | إعداد التقارير الدورية ومراجعة وتقييم متطلبات الأمن السيبراني المتفق عليها تعاقديًا (في اتفاقيات مستوى الخدمة). | |