Řízení dodavatelů v kontextu kybernetické bezpečnosti

2. Prokazatelné informování při řízení dodavatelů

Dodavatelé musejí být seznámeni s tím, že pro organizaci byly určeni jako významní dodavatelé. Prokazatelné informování musí být provedeno dokumentovanou formou obsahující informaci, že u konkrétního systému je daný dodavatele evidován jako významný. Nemusí se však jednat o samostatný dokument, tato informace může být součástí např. dokumentu seznamujícího dodavatele s pravidly, které musí dodržovat. Vždy je ale potřeba mít v dokumentu písemně potvrzeno seznámení se s ním, díky čemuž je tak zajištěno prokazatelné informování konkrétního dodavatele o jeho významnosti.

Prokazatelné informování dodavatele musí obsahovat následující náležitosti:

• identifikace správce nebo provozovatele,
• identifikace informačního systému,
• identifikace významného dodavatele,
• vyrozumění o skutečnosti, že dodavatel je pro správce významným dodavatelem, a popřípadě také o tom, že významný dodavatel je zároveň provozovatelem,
• obsah bezpečnostních pravidel pro dodavatele zohledňující požadavky ISMS.

Na základě prokazatelného informování vzniká provozovateli povinnost nahlásit kontaktní údaje na NÚKIB a plnit požadavky ZKB a VKB v dohodnutém rozsahu.