供应商与外包安全管理checklist

供应商与外包安全管理包括供应商与外包管理制度与风险评估、外包需求定义与与服务商选择、供应商与外包服务合约管理、供应商与外包服务合约管理四方面的内容。

供应商与外包管理制度与风险评估

▼▼外包管理流程

  • 是否建立供应商与外包管理规范、流程?

  • 供应商与外包管理是否包括需求定义、服务商选择、服务合约签订、服务监控等活动或过程?

▼▼外包风险评估

  • 在外包前是否评估外包安排存在的风险?

  • 外包风险评估是否包括外包功能风险、服务提供商风险(包括国外服务提供商具有的特殊风险)、所采用的技术风险?

外包需求定义与服务商选择

▼▼外包需求定义

  • 是否明确定义外包需求?
  • 外包需求的定义是否涉及所有业务及管理相关部门?包括业务、IT以及风险管理等部门?
  • 需求定义是否包括:外包范围、控制标准、对服务提供商的基本要求(资质等)、监控与报告、服务迁移要求、合约期限、合约终止和合约转让、责任处理等内容?
  • 确定的需求是否在后续的RFP(request for proposals,方案征询书)、合约以及监控中使用?

▼▼服务商选择

  • 是否审查服务提供商财务状况的稳定性?包括:1)分析服务提供商已通过审计的财务声明和年度报告;2)评估服务提供商的营业时间及市场份额;3)考虑外包合约规模与服务提供商的公司规模是否相配;4)审查服务提供商的技术开支水平,确保能提供持续的支持;5)评估经济、政治或环境对服务提供商财务稳定性的影响。
  • 是否对服务提供商进行尽责调查?包括:1)服务商的声誉和表现;2)服务商的行业经验和能力;3)由于采用不同的服务商而带来的额外的系统及数据转换或接口成本;4)服务商在专业技术方面的弱点;5)服务商为支持外包活动而计划使用的第三方、转(分)包方或者合作伙伴;6)服务商响应服务中断的能力;7)服务提供商的关键服务人员;8)服务提供商是否有能力遵守相关法规制度;9)服务提供商遵守合约中安全需求条款的能力;10)服务提供商雇佣及监控外包服务人员的程序的适当性;11)因服务商国家、地域不同而潜在的风险。
  • 是否评价服务提供商方案与RFP之间的所有差异,如果方案没有完全满足需求,是否采取措施减轻由此而带来的风险?

供应商与外包服务合约管理

▼▼合约条款法律评审

  • 合约在签署前是否经过法律顾问审查,相关法律问题是否获得满意解决?
  • 审查合约的法律顾问是否具有审查合约的资格(具有从业资格),尤其是当涉及国外和其它地域的法律时?
  • 法律审查是否包括针对[合约条款和国外或其它区域法律司法权]可实施性(强制实施)的评估(不能因为司法权问题导致合约不能强制执行)?

▼▼服务合约内容条款

  • 服务合约的内容范围是否适当?是否需要包括:服务范围、执行标准、价格、财务与控制报告、审计的权利、数据及程序的所有权、机密性与安全性、法规符合性、赔偿、责任限定、争端解决、合约期限、转(分)包限制(或需要机构同意才能转包)、终止与转让(包括以恰当的格式及时归还数据)?
  • 服务合约的具体内容是否适当,是否包括足够的、可测量的服务水平协议(SLA)?包括:根据机构的需求识别服务涉及的重要内容;对每个重要内容定义测量指标;报告测量;不合格的定义;对不合格的处置方式如:减少应付款,终止合约等。
  • 服务合约所采取的计价方式是否对机构的稳固健康发展没有负面影响,包括未来价格变化的合理性?
  • 服务合约双方的权利及义务说明是否足够详细?
  • 服务合约合约条款是否强调重大问题,如:财务和控制报告,审计的权利,数据及程序的所有权,机密性,转包约束或转包商,持续服务等?
  • 服务合约合约是否包含安全需求,如:保密条款等?
  • 服务合约合约应规定报告安全事故?
  • 服务合约是否存在陷阱(如价格陷阱)?

供应商与外包服务管理与监控

▼▼外包服务评价

  • 是否建立针对服务提供商的服务评价体系,统一、客观地评价服务提供商的服务能力与质量,并在服务提供商评级发生变化后采取的必要行动,确保相关策略适应风险的增加?

▼▼外包安全控制

  • 是否对服务提供商采取安全控制措施?包括:1)对服务及项目中人员替换有控制;2)根据合约交付的代码、系统或服务得到恰当安全测试;3)监督第三方服务商的安全控制是否足够;4)根据“鉴别与访问控制”,“网络安全”等方面的程序控制第三方服务商对机构系统的访问;5)是否需要远程通讯,安全控制是否合适。

▼▼外包服务与外包商监控

  • 是否对外包服务进行监控?包括:1)外部环境的潜在变化(如:竞争和行业趋势);2)适当审查并给出外包风险;3)各外包功能的风险变化;4)外包信息安全;5)保险范围;转包(商)关系(包括转包关系变化,转包关系控制等)。
  • 是否对服务提供商进行监控?包括:1)服务提供商的财务状况;2)服务提供商的总体控制环境;3)服务过程及结果与合约条款的符合性,包括SLA;4)服务提供商的灾难恢复计划及测试;5)服务提供商的审计报告和其它涉及业务持续性、安全及其它方面的报告。

▼▼外包服务审查

  • 是否审查服务提供商提供的或者在合约中指定的主要转(分)包商?包括:1)所有相关转(分)包商与机构需求及安全方针的一致性;2)监控并记录所有服务提供商的转(分)包关系,包括这些关系或控制方面的任何变化。

感谢关注“微言晓意(WeYanXY)”!

微言晓意(WeYanXY)专注于网络安全、IT治理、风险管理、监管合规、IT审计等专业领域,兼顾于一切文、史、哲、杂的东拉西扯,同时也会记录一些个人的读书笔记与成长经历。
(0)

相关推荐

  • 一分钟快速理清VDA6.3的结构及主要条款内容

    总 VDA6.3 作为汽车行业中供应链审核的最佳实践,VDA6.3得到了越来越多的人的认可和使用,通过VDA6.3的过程审核,可对产品开发过程直至SOP前的过程进行分析,用于评价成熟度风险和过程风险; ...

  • 外包人员安全管理checklist

    外包人员安全管理目的是控制外包人员管理不善带来的信息泄露.违规操作等安全风险,内容包括外包人员入场.驻场.离场三个方面的安全控制内容. 外包人员入场安全管理 ▼▼外包人员调查 是否对外包人员的能力.资 ...

  • 《档案数字化外包安全管理规范》

      一.总则 1.1为加强档案数字化外包安全管理,确保档案数字化过程中档案实体与信息安全,根据国家有关规定和标准,制定本<规范>. 1.2各级各类档案馆.室等档案部门(以下简称" ...

  • 通用安全管理checklist

    通用安全管理checklist是对信息安全管理调查问卷的一个补充,将以前没有包含的检查点纳入进来,算是对这个系列的一个拾遗与结尾.内容包含安全策略与计划.组织和人员安全.安全工程管理.安全产品管理与符 ...

  • 开发测试安全管理checklist

    开发测试安全管理包括安全需求.安全设计.安全编码测试.系统部署上线.商用及开源软件使用.开发测试资源安全六个部分的内容. 01. 安全需求 在信息系统需求阶段是否考虑安全需求? 信息系统安全需求是否经 ...

  • 系统安全管理checklist

    系统安全管理包括身份鉴别.访问控制.可靠性与可用性.系统监控.日志审计.管理员行为审计.系统安全评估与加固.数据备份.系统安全应急九个部分的内容.操作系统.数据库.应用系统可以酌情裁剪. 01. 身份 ...

  • 网络安全管理checklist

    网络安全管理checklist包括网络架构设计.网络可靠性与可用性.账号权限管理.远程访问.网络监控与审计.网络安全评估与加固.网络安全应急七个部分内容. 01. 网络架构设计 是否具有完善的网络设计 ...

  • 国际分析师郭明錤:网络营销外包之下苹果头戴装置主要供应商被曝光!

    自从去年10月份苹果在疫情肆虐之下延迟一月推出全新iPhone12系列之后,消费者群体开始针对下一系列的iPhone13系列做出假设猜想,不管对与错都离不开一个人的分析指导偏向,那就是郭明錤.身为天风 ...

  • 供应商安全管理策略

    供应商安全管理目的是对供应商在服务过程中的信息安全管理提供规范.指导,内容包括供应商的调查.合同协议.服务交付及日常监督等管理过程. 供应商风险分析与评估调查 ▼▼供应商风险分析 当供应商在业务往来过 ...

  • 赚钱日记:不擅长的事,一定要外包出去  ...

    赚钱日记:不擅长的事,一定要外包出去  ...