供应商风险管理:过程化和文档化
2009-10-22
正在加载数据...
【TechTarget中国原创】在管理供应商合同的时候,非常重要的一个环节是将过程化考虑进去。订立合同不是孤立地去承诺某种义务,而是金融机构的综合信息安全计划的重要组成部分。一个对自己机构的信息安全官存有质疑的监管者可能希望该下属持有一份保持更新状态的有关于第三方供应商以及本机构对于这些第三方供应商的风险分类的列表。这些第三方供应商拥有访问非公开的个人信息以及他们所拥有的各种类型信息的访问权限。(PCIDSS规程(Payment Card Industry Data Security Standards,支付卡行业数据安全标准)的第12.8节就有类似规定,它的要求……
【TechTarget中国原创】在管理供应商合同的时候,非常重要的一个环节是将过程化考虑进去。订立合同不是孤立地去承诺某种义务,而是金融机构的综合信息安全计划的重要组成部分。一个对自己机构的信息安全官存有质疑的监管者可能希望该下属持有一份保持更新状态的有关于第三方供应商以及本机构对于这些第三方供应商的风险分类的列表。这些第三方供应商拥有访问非公开的个人信息以及他们所拥有的各种类型信息的访问权限。(PCIDSS规程(Payment Card Industry Data Security Standards,支付卡行业数据安全标准)的第12.8节就有类似规定,它的要求所涉及的实体应该保存一个服务提供商列表。这些实体与他们的服务提供商共享了支付卡持有者的数据。)从监管者和审计者的角度来看,为了备份本机构的供应商风险评估信息,保持一些有关于对供应商进行的严格审查或审计报表或者类似这些报表的摘要信息的文件对于达到这个目的也是很有帮助的。
在任何一次监管检查时,我们都应该能方便地提供重要的供应商合同的拷贝和具有讨论公司承包策略资格的员工名单的拷贝。不知道你的供应商或不了解你的供应商的信息,就必然导致一个不准确的、不健全的评价。为了使供应商文档的管理更容易,公司的法律部门应该使用合同管理数据库软件来追踪供应商关系以及从信息安全的角度来标记那些被视为高风险的合同,例如,这样数据库管理员就可以方便的打印出所有的、其供应商对帐户和社会安全号码具有访问权限的合同。
总而言之,随时查看重要的供应商合同是非常关键的,并且要在组织中避免长期存储合同而不定期查看的情况的发生。金融公司的法律工作者、操作人员、合规人员以及信息安全工作人员必须要知识渊博,并且当应对监管者时互相之间要保持一致。例如,如果一个公司的法律顾问将强健的审计权包含在供应商合同中,但从来不行使审计权,或者就算他们行使了审计权,信息安全执行官也无法提供文档来表明实际发生过的审计行为,那么这些行为将没有任何价值。
综上所述,缔结合同不仅仅是律师们所期望的。合同化是供应商信息安全风险管理中的至关重要的环节。当前尤其是在资金短缺的情况,我们往往奢望能以最低的价格迅速地购买到IT项目的解决方案,当然这也是可以理解的。然而,对于金融机构以及日益增多的非金融机构而言,结构严谨的合同也不仅仅只是律师们所要求的。而是上升到了一项必须遵守的行业义务,成为监管机构和立法机构所关注的焦点。尽管如此,随着IT项目管理者,信息安全人员以及法律顾问统一意见,随着供应商越来越清晰地意识到这一问题,合同化的新焦点也不一定意味着无止尽的瓶颈和延误。
供应商风险管理:过程化和文档化