🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →
DivisionCero

Política de Gestión de Proveedores

Evaluación y gestión de riesgos de terceros y proveedores

Política de Gestión de Proveedores

Propósito

Garantizar que los proveedores cumplan los estándares de seguridad de la información y calidad de la organización, minimizando riesgos asociados a su operación.

Objetivos

  • Asegurar que los proveedores cumplan requisitos de seguridad y calidad.
  • Establecer procesos claros de gestión de la información y productos recibidos de proveedores.
  • Reducir riesgos de incidentes de seguridad y problemas de calidad derivados de proveedores.

Alcance

Aplica a todos los proveedores que manejan información sensible o afectan la calidad del producto, incluyendo contratistas, subcontratistas y proveedores de servicios externos.

Estándares

  1. Evaluación de Proveedores

    • Revisar políticas, procedimientos, certificaciones, infraestructura y procesos de seguridad.
    • Solicitar información relevante: ISO 9001, manual de calidad, planes de continuidad, muestras de productos, referencias, precios y tiempos de entrega.
    • Proveedores críticos pueden requerir auditoría en sitio por el departamento correspondiente.

  2. Contratos con Proveedores

    • Firmar contratos que incluyan cláusulas de seguridad de la información y calidad.
    • Establecer responsabilidades del proveedor para proteger información sensible y asegurar la calidad del producto o servicio.

  3. Monitoreo de Proveedores

    • Supervisar cumplimiento de seguridad y calidad.
    • Evaluar desempeño basado en entrega, calidad del producto y capacidad de continuidad del negocio.
    • Mantener canales de comunicación para soporte o resolución de incidentes.

  4. Respuesta a Incidentes

    • Aplicar procedimientos de respuesta a incidentes de la organización para eventos de seguridad.
    • Reportar problemas de calidad y exigir acciones correctivas a los proveedores.

  5. Evaluación y Clasificación

    • Aprobado: Compra permitida.
    • Provisional: Compra permitida, desempeño a mejorar.
    • No Aprobado: No se permite compra.
    • No Aplica: No impacta calidad ni seguridad del producto/servicio.

Monitoreo y Revisión

La política se revisará regularmente para garantizar efectividad. La gerencia supervisa el programa, asegurando cumplimiento de los requisitos de seguridad de la información y calidad.

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

Política de Gestión de Concienciación

Programa de capacitación y concientización en seguridad de la información

Política de Privacidad

Protección de datos personales y cumplimiento de regulaciones de privacidad