Guía de Auditoria del Marco de Ciberseguridad 5.0

Relación con proveedores 

Conjunto de posible evidencia que permite probar el cumplimiento de cada requisito incluido en esta sección. 

Requisito RP.1 - Definir acuerdos de niveles de servicio (SLA) con los proveedores de servicios críticos.  

  1. Listados de proveedores críticos, matrices de clasificación de proveedores, registros de puntos de contacto operativos, contratos con responsables designados o capturas del sistema de gestión de compras que permitan verificar que cada proveedor tiene un referente operativo identificado.  

  1. Copias de SLAs firmados, tickets de gestión contractual, reportes de cumplimiento de niveles de servicio, planillas de revisión de SLA o actas de negociación que permitan constatar que los proveedores críticos cuentan con acuerdos firmados con metas de servicio definidas. 

  1. Matrices de riesgo de terceros, planillas de evaluación de proveedores, listas de verificación de revisión de antecedentes, reportes de seguimiento o flujos de aprobación que evidencien que existen mecanismos formales para identificar y gestionar riesgos vinculados a proveedores de servicios críticos. 

  1. Contratos firmados con cláusulas específicas, extractos contractuales, reportes de auditoría contractual, validaciones legales o plantillas de contrato que evidencien que se obliga a los proveedores a notificar incidentes confirmados o sospechados de forma oportuna. 

  1. Contratos vigentes, plantillas de términos y condiciones, actas de aprobación legal, cláusulas de confidencialidad y seguridad o reportes de revisión contractual que permitan verificar que los proveedores críticos tienen responsabilidades explícitas sobre la protección de la información. 

  1. Documento de política vigente y aprobado que establezca los criterios, roles y lineamientos para la selección, vinculación, seguimiento y desvinculación de proveedores, con énfasis en aquellos que impactan activos y servicios críticos. 

  1. Procedimientos documentados, diagramas de flujo de procesos, formularios usados en cada etapa, registros de aplicación del procedimiento o herramientas de seguimiento que permitan confirmar que se gestiona el ciclo completo del proveedor (selección, contratación, seguimiento y finalización).  

  1. Registros de evaluación previa a la contratación, planes de seguimiento durante la prestación, auditorías periódicas a proveedores, planes de salida o revisión de continuidad que evidencien que la gestión de riesgos se aplica desde la adquisición hasta el fin del vínculo.  

 

 

 

Requisito RP.2 - Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios.  

  1. Pliegos de compra, formularios de requerimiento, lista de verificación de evaluación técnica, condiciones contractuales estándar o capturas del sistema de compras que evidencien que las adquisiciones de soluciones o servicios incluyen requisitos mínimos de seguridad de la información.  

  1. Listados de KPIs definidos, tableros o dashboards de seguimiento, reportes de desempeño o planillas de control que permitan verificar que se han establecido métricas para evaluar la gestión y seguridad de los proveedores. 

  1. Extractos de contratos, plantillas legales, minutas de negociación, tickets de revisión o validaciones jurídicas que evidencien que los acuerdos con proveedores críticos contemplan cláusulas de ajuste ante cambios en el servicio, tecnología o normativa aplicable.  

  1. Calendarios anuales de evaluación, cronogramas aprobados, matrices de seguimiento o procedimientos internos que permitan confirmar que existe una periodicidad definida para evaluar a los proveedores.  

  1. Informes de evaluación de desempeño, actas de revisión de proveedores, reportes de cumplimiento de requisitos o formularios de evaluación con criterios de seguridad que permitan verificar que se registran los resultados de las evaluaciones de desempeño de forma estructurada. 

  1. Bitácoras de incumplimientos, tickets de incidentes relacionados a proveedores, actas de reuniones de seguimiento, planes de mejora o evidencias de penalizaciones que evidencien que los desvíos contractuales se documentan y gestionan adecuadamente. 

  1. Actas de revisión contractual, informes de adecuación, tickets de actualización de contratos o matrices de cambios normativos que permitan constatar que los contratos son revisados regularmente para mantener su alineación con las necesidades actuales.   

  1. Matrices de evaluación de proveedores basadas en criticidad, reportes de clasificación de riesgos, flujos de aprobación o criterios de selección que evidencien que se evalúa a los proveedores en función del impacto en el negocio y el riesgo asociado al servicio. 

  1. Registros de decisiones de compra basadas en evaluaciones anteriores, tickets de actualización de condiciones contractuales, minutas de comité de compras o comparativas históricas de desempeño que permitan verificar que los resultados de evaluación inciden en futuras contrataciones o renovaciones. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Políticas de Ciberseguridad Ciberseguridad Seguro te conectás Herramientas para organismos Política Digital del Uruguay