9. Quản lý truyền thông và vận hành
9.2.2. Giám sát và soát xét các dịch vụ của bên thứ ba
Biện pháp quản lý
xuyên và việc đánh giá phải được tiến hành một cách thường xuyên. Hướng dẫn triển khai
Việc giám sát và soát xét các dịch vụ của tổ chức thứ ba cần đảm bảo rằng các điều khoản về an toàn thông tin và các điều kiện của các thỏa thuận phải được tôn trọng triệt để, và các sự cố và các vấn đề về an toàn thông tin được quản lý một cách phù hợp. Công việc này cũng cần đến một quy trình và mối quan hệ quản lý dịch vụ giữa tổ chức và bên thứ ba nhằm:
a) giám sát các mức chất lượng dịch vụ để kiểm tra sự tuân thủ các thỏa thuận;
b) soát xét các báo cáo dịch vụ từ bên thứ ba và sắp xếp các cuộc họp xúc tiến định kỳ theo yêu cầu của các thỏa thuận;
c) cung cấp thông tin về các sự cố an toàn thông tin và soát xét thông tin này bởi tổ chức và bên thứ ba như yêu cầu trong các thỏa thuận và các hướng dẫn và thủ tục hỗ trợ bất kỳ;
d) soát xét các truy vết của bên thứ ba và các bản ghi về các sự kiện an toàn, các sự cố vận hành, các lỗi, truy vết các lỗi và các sự cố đứt dịch vụ;
e) giải quyết và quản lý các vấn đề bất kỳ đã được xác định.
Trách nhiệm trong việc quản lý mối quan hệ với bên thứ ba cần được giao cho một cá nhân nào đó hoặc cho đơn vị quản lý dịch vụ. Hơn nữa, tổ chức cần đảm bảo rằng bên thứ ba cũng đã phân định các trách nhiệm về kiểm tra tuân thủ và bắt buộc thực hiện các yêu cầu của các thỏa thuận. Các kỹ năng kỹ thuật và các nguồn tài nguyên cần sẵn sàng cho việc giám sát xem các yêu cầu của các thỏa thuận (xem 5.2.3), đặc biệt là các yêu cầu về an toàn thông tin, có được đáp ứng không, cần thực hiện hành động phù hợp khi phát hiện thấy có những thiếu sót trong phân phối dịch vụ.
Tổ chức cũng cần duy trì biện pháp quản lý tổng quát thỏa đáng và quản lý được tất cả các khía cạnh về an toàn đối với các thông tin quan trọng, nhạy cảm hoặc các phương tiện xử lý thông tin được truy cập, xử lý hoặc quản lý bởi một tổ chức thứ ba. Tổ chức cần đảm bảo rằng họ vẫn duy trì kiểm soát các hoạt động an toàn như quản lý thay đổi, nhận dạng các yếu điểm, và báo cáo/phản ứng đối với các sự cố an toàn thông tin thông qua một quá trình báo cáo rõ ràng. Thông tin khác
Trong trường hợp sử dụng nhà thầu thì tổ chức cũng cần lưu ý rằng trách nhiệm sau cùng đối với thông tin được xử lý bởi nhà thầu sẽ vẫn thuộc tổ chức.