代码改变世界

信息安全管理26_供应商与外包安全管理checklist

2021-03-05 13:37  微言晓意  阅读(739)  评论(0编辑  收藏  举报

供应商与外包安全管理包括供应商与外包管理制度与风险评估、外包需求定义与与服务商选择、供应商与外包服务合约管理、供应商与外包服务合约管理四方面的内容。

一、供应商与外包管理制度与风险评估

▼▼外包管理流程

  • 是否建立供应商与外包管理规范、流程?

  • 供应商与外包管理是否包括需求定义、服务商选择、服务合约签订、服务监控等活动或过程?

▼▼外包风险评估

  • 在外包前是否评估外包安排存在的风险?

  • 外包风险评估是否包括外包功能风险、服务提供商风险(包括国外服务提供商具有的特殊风险)、所采用的技术风险?

二、外包需求定义与服务商选择

▼▼外包需求定义

  • 是否明确定义外包需求?
  • 外包需求的定义是否涉及所有业务及管理相关部门?包括业务、IT以及风险管理等部门?
  • 需求定义是否包括:外包范围、控制标准、对服务提供商的基本要求(资质等)、监控与报告、服务迁移要求、合约期限、合约终止和合约转让、责任处理等内容?
  • 确定的需求是否在后续的RFP(request for proposals,方案征询书)、合约以及监控中使用?

▼▼服务商选择

  • 是否审查服务提供商财务状况的稳定性?包括:1)分析服务提供商已通过审计的财务声明和年度报告;2)评估服务提供商的营业时间及市场份额;3)考虑外包合约规模与服务提供商的公司规模是否相配;4)审查服务提供商的技术开支水平,确保能提供持续的支持;5)评估经济、政治或环境对服务提供商财务稳定性的影响。
  • 是否对服务提供商进行尽责调查?包括:1)服务商的声誉和表现;2)服务商的行业经验和能力;3)由于采用不同的服务商而带来的额外的系统及数据转换或接口成本;4)服务商在专业技术方面的弱点;5)服务商为支持外包活动而计划使用的第三方、转(分)包方或者合作伙伴;6)服务商响应服务中断的能力;7)服务提供商的关键服务人员;8)服务提供商是否有能力遵守相关法规制度;9)服务提供商遵守合约中安全需求条款的能力;10)服务提供商雇佣及监控外包服务人员的程序的适当性;11)因服务商国家、地域不同而潜在的风险。
  • 是否评价服务提供商方案与RFP之间的所有差异,如果方案没有完全满足需求,是否采取措施减轻由此而带来的风险?

三、供应商与外包服务合约管理

▼▼合约条款法律评审

  • 合约在签署前是否经过法律顾问审查,相关法律问题是否获得满意解决?
  • 审查合约的法律顾问是否具有审查合约的资格(具有从业资格),尤其是当涉及国外和其它地域的法律时?
  • 法律审查是否包括针对[合约条款和国外或其它区域法律司法权]可实施性(强制实施)的评估(不能因为司法权问题导致合约不能强制执行)?

▼▼服务合约内容条款

  • 服务合约的内容范围是否适当?是否需要包括:服务范围、执行标准、价格、财务与控制报告、审计的权利、数据及程序的所有权、机密性与安全性、法规符合性、赔偿、责任限定、争端解决、合约期限、转(分)包限制(或需要机构同意才能转包)、终止与转让(包括以恰当的格式及时归还数据)?
  • 服务合约的具体内容是否适当,是否包括足够的、可测量的服务水平协议(SLA)?包括:根据机构的需求识别服务涉及的重要内容;对每个重要内容定义测量指标;报告测量;不合格的定义;对不合格的处置方式如:减少应付款,终止合约等。
  • 服务合约所采取的计价方式是否对机构的稳固健康发展没有负面影响,包括未来价格变化的合理性?
  • 服务合约双方的权利及义务说明是否足够详细?
  • 服务合约合约条款是否强调重大问题,如:财务和控制报告,审计的权利,数据及程序的所有权,机密性,转包约束或转包商,持续服务等?
  • 服务合约合约是否包含安全需求,如:保密条款等?
  • 服务合约合约应规定报告安全事故?
  • 服务合约是否存在陷阱(如价格陷阱)?

四、供应商与外包服务管理与监控

▼▼外包服务评价

  • 是否建立针对服务提供商的服务评价体系,统一、客观地评价服务提供商的服务能力与质量,并在服务提供商评级发生变化后采取的必要行动,确保相关策略适应风险的增加?

▼▼外包安全控制

  • 是否对服务提供商采取安全控制措施?包括:1)对服务及项目中人员替换有控制;2)根据合约交付的代码、系统或服务得到恰当安全测试;3)监督第三方服务商的安全控制是否足够;4)根据“鉴别与访问控制”,“网络安全”等方面的程序控制第三方服务商对机构系统的访问;5)是否需要远程通讯,安全控制是否合适。

▼▼外包服务与外包商监控

  • 是否对外包服务进行监控?包括:1)外部环境的潜在变化(如:竞争和行业趋势);2)适当审查并给出外包风险;3)各外包功能的风险变化;4)外包信息安全;5)保险范围;转包(商)关系(包括转包关系变化,转包关系控制等)。
  • 是否对服务提供商进行监控?包括:1)服务提供商的财务状况;2)服务提供商的总体控制环境;3)服务过程及结果与合约条款的符合性,包括SLA;4)服务提供商的灾难恢复计划及测试;5)服务提供商的审计报告和其它涉及业务持续性、安全及其它方面的报告。

▼▼外包服务审查

  • 是否审查服务提供商提供的或者在合约中指定的主要转(分)包商?包括:1)所有相关转(分)包商与机构需求及安全方针的一致性;2)监控并记录所有服务提供商的转(分)包关系,包括这些关系或控制方面的任何变化。