供应商关系中的网络安全指南(04) | 信息技术外包流程之选择供应商

admin 2024年6月17日11:55:36评论2 views字数 1982阅读6分36秒阅读模式

供应商关系中的网络安全指南(04) |  信息技术外包流程之选择供应商

供应商关系中的网络安全指南(04) |  信息技术外包流程之选择供应商

供应商关系中的网络安全指南(04) |  信息技术外包流程之选择供应商

《供应商关系中的网络安全指南》

精编版 [独家首发]

04/07

2024

信息技术外包流程之选择供应商

供应商关系中的网络安全指南(04) |  信息技术外包流程之选择供应商
在外包IT运营的整个过程中从开始到结束保护您的组织

供应商关系中的网络安全指南(04) |  信息技术外包流程之选择供应商

四 (选择供应商)

供应商关系中的网络安全指南(04) |  信息技术外包流程之选择供应商

供应商关系中的网络安全指南(04) |  信息技术外包流程之选择供应商

3.1  根据正确的选择标准选择供应商

供应商的选择会对所交付 IT 操作的质量和安全性产生重大影响。因此,客户必须根据相关标准选择供应商,并深入调查供应商满足客户安全需求和其他服务交付要求的整体能力。这将有助于确保供应商能够在合同期内和合同终止时提供足够水平的网络和信息安全。
在选择供应商时客户应考虑有关潜在供应商的若干因素其中一些因素举例如下
— 供应商提供所需 IT 服务的能力。
— 供应商满足客户安全要求的能力。
— 供应商的地理位置。
— 如果 IT 业务之前已外包给另一家供应商,供应商对潜在过渡义务的接受程度。
— 供应商是否愿意合作并协助审核。
— 供应商接受终止条款,包括在整个终止期间维护网络和信息安全的义务(见第 6 节)。
— 供应商的财务状况和所有权结构。
— 供应商使用分包供应商的情况。
— 供应商的诚信度以及之前是否有任何严重违反公共合同的行为。
— 客户和供应商在规模和相互依赖性方面的平等性。
— 供应商被锁定的风险,因为客户对供应商所提供服务的依赖性可能会导致未来更换新供应商的成本过高而无法促成更换。
上述清单并非详尽无遗因为客户在选择供应商的过程中还需要考虑与具体服务供应相关的特殊条件。下文将详细阐述上述一些考虑因素。
客户的财务状况往往是选择供应商的一个重要因素。客户在选择供应商时,往往需要在价格和质量(包括安全性)之间取得平衡。在安全方面,客户应考虑供应商提供的安全级别与合同总价之间是否有良好的平衡。有些供应商为了降低价格,可能会在安全方面偷工减料。因此,客户最好要求潜在供应商在标书和合同中明确规定安全价格。这样,供应商就会有更大的经济动力来实际满足商定的安全要求。如果计划中的外包包括关键的 IT 基础设施,客户在评估潜在供应商时,应在价格和质量之间权衡利弊,更加重视安全问题。
客户还应考虑双方的相对规模和依赖程度是否会影响客户在合同期内对供应商的管理范围。如果客户相对于供应商而言规模较小,那么客户通常会发现,与相反的情况相比,客户更难设定具体的安全要求并随后对供应商进行管理。相反,如果供应商规模较小,客户就必须特别注意供应商在合同期内破产和所有权结构变化的风险。因此,在选择供应商时,客户应考虑供应商规模和依赖性的利弊。
客户可以考虑下图中描述的哪种情况最能体现客户与供应商的关系。请注意,下图只是对潜在利弊的简化概述,不一定直接适用于具体的客户—供应商关系。
客户
小型
大型

小型

情况 1:客户是一小批客户中的一个
优点
—客户被优先考虑
提出具体要求和管理供应商的好机会
缺点
供应商破产或所有权变更的风险
 IT 服务选择有限
有文件记录的供应商流程和程序数量有限
方案 2:客户在战略上对供应商非常重要
优点
客户具有高度优先权
有丰富的机会提出具体要求和管理供应商
缺点
供应商破产或所有权变更的风险
 IT 服务选择有限
记录在案的供应商流程和程序数量有限

大型

情况 3:客户对供应商并不重要。
优点
在大量标准 IT 服务中自由选择
供应商拥有更多的文件化流程和程序
缺点
客户的优先级较低
难以提出具体要求和管理供应商
供应商锁定的风险
方案 4:客户是众多客户中的一个。
优点
在大量标准 IT 服务中自由选择
供应商拥有更多的文件化流程和程序
客户的优先级高于小客户
缺点
难以提出具体要求和管理供应商
供应商锁定的风险
图 4  与供应商选择有关的潜在利弊
此外,客户还应考虑供应商的地理位置,因为客户本国以外的情况可能会影响客户的网络和信息安全。在世界某些地区,当地立法、公共当局对数据的访问、犯罪率、文化差异、政治条件、自然灾害和地缘政治紧张局势等因素可能会影响 IT 服务供应的安全性。例如,将 IT 业务外包给某些国家的供应商时,可能需要考虑法律问题。因此,客户应确保供应商运营所依据的法律法规与客户的要求不相冲突。因此,客户在选择供应商时应始终寻求法律援助。
丹麦公共机构也应意识到,其供应商选择过程往往必须遵守公开招标规则。因此,当局应确保招标文件尽可能包含相关要求和条款,以降低与根据公开招标规则选择供应商有关的上述风险。
根据相关标准和对供应商满足安全和其他要求的整体能力的深入评估,选择供应商。

第五章 信息技术外包流程之合同阶段

明日更新,敬请关注

精编版PDF可在前沿阵地星球下载

指南官方链接:

https://www.cfcs.dk/globalassets/cfcs/dokumenter/vejledninger/en/-cyber-security-in-supplier-relationships.pdf

供应商关系中的网络安全指南(04) |  信息技术外包流程之选择供应商

供应商关系中的网络安全指南(04) |  信息技术外包流程之选择供应商

原文始发于微信公众号(前沿信安资讯阵地):供应商关系中的网络安全指南(04) | 信息技术外包流程之选择供应商

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月17日11:55:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   供应商关系中的网络安全指南(04) | 信息技术外包流程之选择供应商https://cn-sec.com/archives/2854557.html

发表评论

匿名网友 填写信息