نکات کلیدی قرارداد ISMS برای کارفرما و پیمانکار
قراردادهای مرتبط با سیستم مدیریت امنیت اطلاعات (ISMS) نقشی حیاتی در تضمین امنیت دادهها، حفظ یکپارچگی کسبوکار و ایجاد اعتماد متقابل بین کارفرمایان و پیمانکاران ایفا میکنند و توجه دقیق به این نکات کلیدی امری ضروری است. این مقاله با توجه به سندی که مرکز مدیریت راهبردی افتا، با موضوع نکات کلیدی قرارداد ISMS برای کارفرما و پیمانکار منتشر کرده شرح داده شده و به صراحت میخواهد تا دو طرف قرارداد (شرکتهای ممیزی کننده و دستگاههای دارای زیر ساخت حیاتی ممیز شونده) این الزامات را در انعقاد و اجرای قرارداد، رعایت کنند.
نکات کلیدی قرارداد ISMS :
- حضور ناظر/ناظران مرکز مدیریت راهبردی افتا در روز ممیزی
- تمامی فعالیتهای ممیزی، باید در محل سازمان انجام شود و هیچ گونه ارسال اطلاعات و مستندات موضوع ممیزی، مجاز نیست
- در مورد دستگاههای زیرساختی علاوه بر استاندارد 27001 IEC/ISO ، الزامات مرکز مدیریت راهبردی افتا نیز مورد ممیزی خواهد بود.
- زمان ممیزی، در مورد دستگاههای زیرساختی، با توجه به لزوم بررسی الزامات بالادستی مرکز افتا، به تعداد نفر-روز پیشنهادی استاندارد 27006IEC/ISO افزوده خواهد شد
- علاوه بر زمان مورد نیاز برای ممیزی، یک نفر-روز نیز بابت تدوین گزارش ممیزی، در نظر گرفته میشود.
- شرکت ممیز نباید هیچ تعهدی در قبال ارائه گواهینامه به دستگاه ممیزی شونده دهد، تصمیم گیری در این خصوص با کمیته ممیزی سیستم مدیریت امنیت اطلاعات (ISMS) مرکز افتا خواهد بود، لذا هیچ مبلغی از قرارداد نباید مشروط به اعطای گواهینامه شود.
- طرف ممیزی شونده نباید پیش از تائید کیفیت گزارش ها توسط مرکز افتا، در هر مرحله، به شرکت ممیز، پرداختی انجام دهد.
- ممیزی شونده، ملزم است هرگونه محدودیت در برگزاری ممیزی نظیر محدودیت در دسترسی به برخی از واحدها و اطلاعات سازمانی را قبل از برگزاری ممیزی به تیم ممیزی اطلاع دهد.
- شرایط تعلیق و ابطال گواهینامه باید در قرارداد ممیزی قید شود. این شرایط شامل و نه محدود به موارد اشاره شده در بند 9.6.5 استاندارد 17021-1:2015 IEC/ISO است.
- مدت اعتبار گواهینامه ISMS به شرط برگزاری ممیزیهای مراقبتی، 3 سال خواهد بود، لذا ممیزی شونده، لازم است برای تمدید اعتبار سالیانه گواهینامه، نسبت به برگزاری ممیزی مراقبتی اول به فاصله حداقل 10 و حداکثر 12 ماه از آخرین تاریخ روز ممیزی مرحله دوم و ممیزی مراقبتی دوم به فاصله حداقل 22 و حداکثر 24 ماه از آخرین تاریخ روز ممیزی مرحله دوم اقدام کند.
تبصره: سازمان ممیزی شونده در شرایط خاص و مشروط به تائید کمیته ممیزی مرکز افتا میتواند برگزاری ممیزی مراقبتی را، حداکثر 2 ماه به تعویق اندازد.
- فاصله بین ممیزی مرحله اول و دوم حداقل 1 و حداکثر 3 ماه خواهد بود و در صورتی که به هر دلیلی ممیزی مرحله دوم، در این بازه زمانی برگزار نشود، ممیزی مرحله اول باید دوباره برگزار شود
- در صورتی که در ممیزی مرحله اول عدم انطباق کلی وجود داشته باشد، این مرحله از ممیزی، پس از برطرف سازی موارد عدم انطباق کلی، تکرار خواهد شد.
- در صورتی که سیستم مدیریت امنیت اطلاعات مورد ممیزی از صلاحیت لازم برای دریافت گواهینامه برخوردار نباشد، بنا به صالحدید کمیته ممیزی مرکز افتا، ممیزی/های دنبالهای به فاصله حداکثر سه ماه و حداکثر 3 مرتبه (هرکدام که زودتر محقق شود) از ممیزی برگزار خواهد شد.
در صورت عدم تائید انطباق سیستم پیاده سازی شده با الزامات استاندارد، سازمان برای دریافت گواهینامه، توصیه نمیشود و در خصوص ممیزیهای مراقبتی، گواهینامه اعطا شده به ممیزی شونده، سلب اعتبار خواهد شد.
- شرکت ممیز، موظف است گزارشات ممیزی (شامل ممیزی مرحله اول، دوم، دنبالهای، مراقبتی اول، مراقبتی دوم و صدور مجدد (را به فاصله حداکثر دو هفته از تاریخ آخرین روز ممیزی، به مرکز افتا و همچنین رونوشت آن را به ممیزی شونده ارسال کند. ضمناً گزارش ممیزی تائید شده مرکز افتا نیز الزاماً باید از طرف شرکت ممیز، برای ممیزی شونده (و رونوشت به مرکز افتا) ارسال شود.
- ممیزی شونده متعهد است در صورت وجود عدم انطباق (کلی یا جزئی) طرح اقدامات اصلاحی مربوط را حداکثر ظرف مدت یک ماه- پس از تائید نهایی گزارش ممیزی - به شرکت ممیز ارائه داده و سرممیز بررسیهای لازم را (حداکثر ظرف مدت دو هفته) در خصوص کفایت اقدامات اصلاحی ارسالی انجام دهد. بدیهی است سازمان زیرساختی، ملزم به اجرای اقدامات اصلاحی، پس از تائید نهایی سرممیز است.
نکته: در صورتی که در بازه زمانی حداکثر سه ماه، ممیز و ممیزی شونده در خصوص اقدامات اصالحی به توافق نرسند، موضوع به کمیته ممیزی مرکز افتا -به عنوان مرجع تصمیم گیری نهایی- ارجاع داده میشود.
- بررسی اقدامات اصلاحی، جزء تعهدات شرکت ممیزی است. فلذا شرکت ممیزی ملزم است اقدامات اصلاحی ارسالی توسط ممیزی شونده را بررسی و بازخوردهای لازم را بهصورت رسمی برای ممیزی شونده (و رونوشت به مرکز افتا) ارسال کند.
- ممیز موظف و مجاز به ارائه راه حل و یا مشاوره در خصوص برطرف سازی عدم انطباقهای شناسایی شده، نیست و تنها باید عدم انطباقها را تشریح کند.
- ممیزی شونده میتواند هرگونه بازخورد از عملکرد تیم ممیزی را به مرکز مدیریت راهبردی افتا انتقال دهد.
- مرکز مدیریت راهبردی افتا مرجع اصلی و نهایی هر گونه تصمیم گیری در خصوص اعطا، تعلیق و ابطال گواهینامه است.
- در صورت ارائه اطلاعات غلط و یا ناقص در فرم شماره یک توسط سازمان، شرکت ممیز مجاز است در خصوص تغییر تعداد نفر-روز ممیزی و یا تغییر محدوده ممیزی با ممیزی شونده توافق کند.
- در صورتی که گزارش ممیزی از کیفیت لازم برخوردار نباشد و به تائید کمیته ممیزی مرکز افتا نرسد، شرکت ممیز علاوه بر آنکه از کمیته ممیزی مرکز افتا ، امتیاز منفی خواهد گرفت، (بنا به صالحدید کمیته یاد شده)، ملزم است فرآیند ممیزی را بدون دریافت هزینه اضافی از سازمان/شرکت ممیزی شونده، تکرار کند.
جمع بندی
در نهایت، موفقیت در اجرای یک قرارداد ISMS، مستلزم همکاری، شفافیت و درک متقابل تمامی طرفهای درگیر است. سرمایهگذاری زمان و دقت در تدوین و اجرای این قراردادها، سرمایهگذاری در امنیت، پایداری و موفقیت بلندمدت تمامی ذینفعان خواهد بود.
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2025 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
هیچ دیدگاهی نوشته نشده است.