5. Mechanizmy kontroli dostępu do systemu i danych

Mechanizmy kontroli dostępu do systemu i danych powinny być oparte na dobrze zdefiniowanych procedurach i zasadach polityki, które umożliwiają łatwe zablokowanie dostępu dla osób nieuprawnionych, np. zwolnionych pracowników. Dostawca musi zaprezentować dokumentację opisującą mechanizmy autoryzacji, dotyczące zarówno użytkowników pracujących w firmie, jak i uzyskujących zdalny dostęp. Polityka bezpieczeństwa obejmuje również zarządzanie hasłami administratorów systemu, a kierownictwo firmy korzystającej z usług powinno mieć dostęp i możliwość przeglądu dokumentów opisujących zasady zabezpieczeń. Dodatkowo, system bezpieczeństwa musi zostać zweryfikowany i oceniony przez niezależną firmę.

6. Zarządzanie zmianami

Modyfikacje i zmiany wprowadzane w systemie muszą być udokumentowane. Procedury wprowadzania zmian powinny zawierać takie formalne elementy, jak: zgłoszenie potrzeby modyfikacji, rejestracja zgłoszenia, jego zatwierdzenie, wyniki testów oraz akceptacja wdrożenia modyfikacji w systemie produkcyjnym. Ponadto, dostawca musi zaprezentować, że modyfikacje wprowadzane w nagłych sytuacjach, np. pojawienia się zagrożeń dla prawidłowego funkcjonowania systemu, również podlegają formalnemu procesowi przeglądu i weryfikacji.

Zobacz również:

• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
• Cisco i Microsoft transmitują dane z prędkością 800 Gb/s
• Cyberobrona? Mamy w planach

7. Integralność danych

Polityka i procedury zapewniające integralność i bezpieczeństwo przechowywanych informacji powinny działać efektywnie i przynajmniej raz do roku podlegać przeglądowi i aktualizacji, a odpowiednie informacje na ten temat muszą być przekazywane pracownikom dostawcy usług. Dotyczy to m.in. polityki tworzenia kopii bezpieczeństwa oraz czasu przechowywania archiwalnych informacji.

8. Bezpieczeństwo fizyczne i zagrożenia środowiskowe

Fizyczny dostęp do systemu IT i zasobów wykorzystywanych przez dostawcę powinien być odpowiednio zabezpieczony poprzez stosowanie kart identyfikacyjnych, monitoringu wideo i innych działających efektywnie rozwiązań. Używane mechanizmy kontroli muszą być udokumentowane i przynajmniej raz w roku podlegać przeglądowi, a wszystkie incydenty analizowane. Dodatkowo usługodawca powinien mieć opracowany plan przeciwdziałania skutkom poważnych awarii i klęsk żywiołowych. W szczególności dotyczy to wymagania na redundatne połączenia sieciowe i energetyczne.

9. Umowy SLA

Dostawca musi wykazać, że podpisuje z użytkownikami umowy precyzujące wymagania na jakość świadczonych usług, a jednocześnie udostępnia im narzędzia pozwalające na ich monitorowanie.

10. Raporty, rachunki i satysfakcja klientów

Użytkownicy muszą mieć dostęp do raportów dotyczących wydajności systemu i jej zgodności z warunkami SLA. Dodatkowo, by uzyskać certyfikat MSPAlliance, dostawca powinien przedstawić referencje, które można zweryfikować.

11. Finansowa stabilność

Usługodawca jest też zobowiązany do przedstawienia wielkości zysków przynajmniej z 6 ostatnich miesięcy, które świadczą o jego pozycji finansowej, a jeśli firma nie przynosiła zysków, to udokumentować wartość posiadanego kapitału na poziomie zapewniającym stabilne funkcjonowanie. Dodatkowo, dostawca powinien udowodnić, że jego dochody są odpowiednio rozproszone i nie zależą tylko od jednego lub kilku klientów.