供应商关系中的网络安全指南（04） | 信息技术外包流程之选择供应商

admin

108235
文章

90
评论

2024年6月17日11:55:36评论2 views字数 1982阅读6分36秒阅读模式

供应商关系中的网络安全指南（04） | 信息技术外包流程之选择供应商

《供应商关系中的网络安全指南》

精编版 [独家首发]

04/07

2024

信息技术外包流程之选择供应商

在外包IT运营的整个过程中从开始到结束保护您的组织

四 (选择供应商)

供应商关系中的网络安全指南（04） | 信息技术外包流程之选择供应商

3.1 根据正确的选择标准选择供应商

供应商的选择会对所交付 IT 操作的质量和安全性产生重大影响。因此，客户必须根据相关标准选择供应商，并深入调查供应商满足客户安全需求和其他服务交付要求的整体能力。这将有助于确保供应商能够在合同期内和合同终止时提供足够水平的网络和信息安全。

在选择供应商时，客户应考虑有关潜在供应商的若干因素，其中一些因素举例如下：

— 供应商提供所需 IT 服务的能力。

— 供应商满足客户安全要求的能力。

— 供应商的地理位置。

— 如果 IT 业务之前已外包给另一家供应商，供应商对潜在过渡义务的接受程度。

— 供应商是否愿意合作并协助审核。

— 供应商接受终止条款，包括在整个终止期间维护网络和信息安全的义务（见第 6 节）。

— 供应商的财务状况和所有权结构。

— 供应商使用分包供应商的情况。

— 供应商的诚信度以及之前是否有任何严重违反公共合同的行为。

— 客户和供应商在规模和相互依赖性方面的平等性。

— 供应商被锁定的风险，因为客户对供应商所提供服务的依赖性可能会导致未来更换新供应商的成本过高而无法促成更换。

上述清单并非详尽无遗，因为客户在选择供应商的过程中还需要考虑与具体服务供应相关的特殊条件。下文将详细阐述上述一些考虑因素。

客户的财务状况往往是选择供应商的一个重要因素。客户在选择供应商时，往往需要在价格和质量（包括安全性）之间取得平衡。在安全方面，客户应考虑供应商提供的安全级别与合同总价之间是否有良好的平衡。有些供应商为了降低价格，可能会在安全方面偷工减料。因此，客户最好要求潜在供应商在标书和合同中明确规定安全价格。这样，供应商就会有更大的经济动力来实际满足商定的安全要求。如果计划中的外包包括关键的 IT 基础设施，客户在评估潜在供应商时，应在价格和质量之间权衡利弊，更加重视安全问题。

客户还应考虑双方的相对规模和依赖程度是否会影响客户在合同期内对供应商的管理范围。如果客户相对于供应商而言规模较小，那么客户通常会发现，与相反的情况相比，客户更难设定具体的安全要求并随后对供应商进行管理。相反，如果供应商规模较小，客户就必须特别注意供应商在合同期内破产和所有权结构变化的风险。因此，在选择供应商时，客户应考虑供应商规模和依赖性的利弊。

客户可以考虑下图中描述的哪种情况最能体现客户与供应商的关系。请注意，下图只是对潜在利弊的简化概述，不一定直接适用于具体的客户—供应商关系。

客户
小型	大型
供应商	小型	情况 1：客户是一小批客户中的一个优点 —客户被优先考虑 —提出具体要求和管理供应商的好机会缺点 —供应商破产或所有权变更的风险 — IT 服务选择有限 —有文件记录的供应商流程和程序数量有限	方案 2：客户在战略上对供应商非常重要优点 —客户具有高度优先权 —有丰富的机会提出具体要求和管理供应商缺点 —供应商破产或所有权变更的风险 — IT 服务选择有限 —记录在案的供应商流程和程序数量有限
供应商	大型	情况 3：客户对供应商并不重要。优点 —在大量标准 IT 服务中自由选择 —供应商拥有更多的文件化流程和程序缺点 —客户的优先级较低 —难以提出具体要求和管理供应商 —供应商锁定的风险	方案 4：客户是众多客户中的一个。优点 —在大量标准 IT 服务中自由选择 —供应商拥有更多的文件化流程和程序 —客户的优先级高于小客户缺点 —难以提出具体要求和管理供应商 —供应商锁定的风险

图 4 与供应商选择有关的潜在利弊

此外，客户还应考虑供应商的地理位置，因为客户本国以外的情况可能会影响客户的网络和信息安全。在世界某些地区，当地立法、公共当局对数据的访问、犯罪率、文化差异、政治条件、自然灾害和地缘政治紧张局势等因素可能会影响 IT 服务供应的安全性。例如，将 IT 业务外包给某些国家的供应商时，可能需要考虑法律问题。因此，客户应确保供应商运营所依据的法律法规与客户的要求不相冲突。因此，客户在选择供应商时应始终寻求法律援助。

丹麦公共机构也应意识到，其供应商选择过程往往必须遵守公开招标规则。因此，当局应确保招标文件尽可能包含相关要求和条款，以降低与根据公开招标规则选择供应商有关的上述风险。

根据相关标准和对供应商满足安全和其他要求的整体能力的深入评估，选择供应商。

第五章 信息技术外包流程之合同阶段

明日更新，敬请关注

☆☆精编版PDF可在前沿阵地星球下载☆☆

指南官方链接：

https://www.cfcs.dk/globalassets/cfcs/dokumenter/vejledninger/en/-cyber-security-in-supplier-relationships.pdf

供应商关系中的网络安全指南（04） | 信息技术外包流程之选择供应商

原文始发于微信公众号（前沿信安资讯阵地）：供应商关系中的网络安全指南（04） | 信息技术外包流程之选择供应商

左青龙
微信扫一扫

右白虎
微信扫一扫

客户
小型	大型
供应商	小型	情况 1：客户是一小批客户中的一个优点 —客户被优先考虑 —提出具体要求和管理供应商的好机会缺点 —供应商破产或所有权变更的风险 — IT 服务选择有限 —有文件记录的供应商流程和程序数量有限	方案 2：客户在战略上对供应商非常重要优点 —客户具有高度优先权 —有丰富的机会提出具体要求和管理供应商缺点 —供应商破产或所有权变更的风险 — IT 服务选择有限 —记录在案的供应商流程和程序数量有限
供应商	大型	情况 3：客户对供应商并不重要。优点 —在大量标准 IT 服务中自由选择 —供应商拥有更多的文件化流程和程序缺点 —客户的优先级较低 —难以提出具体要求和管理供应商 —供应商锁定的风险	方案 4：客户是众多客户中的一个。优点 —在大量标准 IT 服务中自由选择 —供应商拥有更多的文件化流程和程序 —客户的优先级高于小客户缺点 —难以提出具体要求和管理供应商 —供应商锁定的风险

供应商关系中的网络安全指南（04） | 信息技术外包流程之选择供应商

软件供应链安全 | 基础解析

数字供应链安全缺口----Phoenix SecureCore UEFI 固件漏洞可能会影响100多个PC型号

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

Lazarus Group 首次针对加密货币领域发起开源供应链攻击

供应商关系中的网络安全指南（06） | 信息技术外包流程之供应商管理

供应商关系中的网络安全指南（05） | 信息技术外包流程之合同阶段

供应商关系中的网络安全指南（01） | 开篇序言

软件供应链安全的核心到底在哪？

供应链安全 | 加载数据集或模型可能就中毒

洞见RSAC 2024｜供应链与AI安全挑战

发表评论

在线咨询

微信