供应商与外包安全管理checklist / 开普饭

供应商与外包安全管理包括供应商与外包管理制度与风险评估、外包需求定义与与服务商选择、供应商与外包服务合约管理、供应商与外包服务合约管理四方面的内容。

供应商与外包管理制度与风险评估

▼▼外包管理流程

▼▼外包风险评估

外包需求定义与服务商选择

▼▼外包需求定义

▼▼服务商选择

是否审查服务提供商财务状况的稳定性？包括：1）分析服务提供商已通过审计的财务声明和年度报告；2）评估服务提供商的营业时间及市场份额；3）考虑外包合约规模与服务提供商的公司规模是否相配；4）审查服务提供商的技术开支水平，确保能提供持续的支持；5）评估经济、政治或环境对服务提供商财务稳定性的影响。
是否对服务提供商进行尽责调查？包括：1）服务商的声誉和表现；2）服务商的行业经验和能力；3）由于采用不同的服务商而带来的额外的系统及数据转换或接口成本；4）服务商在专业技术方面的弱点；5）服务商为支持外包活动而计划使用的第三方、转（分）包方或者合作伙伴；6）服务商响应服务中断的能力；7）服务提供商的关键服务人员；8）服务提供商是否有能力遵守相关法规制度；9）服务提供商遵守合约中安全需求条款的能力；10）服务提供商雇佣及监控外包服务人员的程序的适当性；11）因服务商国家、地域不同而潜在的风险。
是否评价服务提供商方案与RFP之间的所有差异，如果方案没有完全满足需求，是否采取措施减轻由此而带来的风险？

供应商与外包服务合约管理

▼▼合约条款法律评审

▼▼服务合约内容条款

服务合约的内容范围是否适当？是否需要包括：服务范围、执行标准、价格、财务与控制报告、审计的权利、数据及程序的所有权、机密性与安全性、法规符合性、赔偿、责任限定、争端解决、合约期限、转（分）包限制（或需要机构同意才能转包）、终止与转让（包括以恰当的格式及时归还数据）？
服务合约的具体内容是否适当，是否包括足够的、可测量的服务水平协议（SLA）？包括：根据机构的需求识别服务涉及的重要内容；对每个重要内容定义测量指标；报告测量；不合格的定义；对不合格的处置方式如：减少应付款，终止合约等。
服务合约所采取的计价方式是否对机构的稳固健康发展没有负面影响，包括未来价格变化的合理性？
服务合约双方的权利及义务说明是否足够详细？
服务合约合约条款是否强调重大问题，如：财务和控制报告，审计的权利，数据及程序的所有权，机密性，转包约束或转包商，持续服务等？
服务合约合约是否包含安全需求，如：保密条款等？
服务合约合约应规定报告安全事故？
服务合约是否存在陷阱（如价格陷阱）？

供应商与外包服务管理与监控

▼▼外包服务评价

▼▼外包安全控制

是否对服务提供商采取安全控制措施？包括：1）对服务及项目中人员替换有控制；2）根据合约交付的代码、系统或服务得到恰当安全测试；3）监督第三方服务商的安全控制是否足够；4）根据“鉴别与访问控制”，“网络安全”等方面的程序控制第三方服务商对机构系统的访问；5）是否需要远程通讯，安全控制是否合适。

▼▼外包服务与外包商监控

是否对外包服务进行监控？包括：1）外部环境的潜在变化（如：竞争和行业趋势）；2）适当审查并给出外包风险；3）各外包功能的风险变化；4）外包信息安全；5）保险范围；转包（商）关系（包括转包关系变化，转包关系控制等）。
是否对服务提供商进行监控？包括：1）服务提供商的财务状况；2）服务提供商的总体控制环境；3）服务过程及结果与合约条款的符合性，包括SLA；4）服务提供商的灾难恢复计划及测试；5）服务提供商的审计报告和其它涉及业务持续性、安全及其它方面的报告。

▼▼外包服务审查

是否审查服务提供商提供的或者在合约中指定的主要转（分）包商？包括：1）所有相关转（分）包商与机构需求及安全方针的一致性；2）监控并记录所有服务提供商的转（分）包关系，包括这些关系或控制方面的任何变化。

感谢关注“微言晓意(WeYanXY)”！

微言晓意(WeYanXY)专注于网络安全、IT治理、风险管理、监管合规、IT审计等专业领域，兼顾于一切文、史、哲、杂的东拉西扯，同时也会记录一些个人的读书笔记与成长经历。

供应商与外包安全管理checklist