![供应商关系中的网络安全指南(05) | 信息技术外包流程之合同阶段 供应商关系中的网络安全指南(05) | 信息技术外包流程之合同阶段]()
《供应商关系中的网络安全指南》
精编版 [独家首发]
在外包IT运营的整个过程中从开始到结束保护您的组织
![供应商关系中的网络安全指南(05) | 信息技术外包流程之合同阶段 供应商关系中的网络安全指南(05) | 信息技术外包流程之合同阶段]()
一旦选定或指定了供应商,就应拟定双方之间的合同。合同应确保各方了解各自在合同期内与网络和信息安全管理相关的角色和责任。合同必须详细说明双方的任务和义务,以消除对双方责任分工的任何疑虑。
合同应明确说明客户对供应商的网络和信息安全期望。合同应包括安全要求,以确保其与合同中的任何其他要求具有同等的可执行性。如果客户进行了公开招标,合同中应包括与招标文件中相同的安全要求,以及根据供应商的投标书所做的任何调整。
合同还应包括确保供应商在合同期内遵守安全要求的规定。合同条款应包括供应商的文件和报告义务,以及客户自行或通过第三方核查供应商遵守合同情况的权利。供应商也有义务分配足够的资源,以确保遵守控制和报告要求,包括规划会议、准备文件和跟进的时间。
客户监督供应商的权利应包括供应商遵守合同的所有方面,包括与供应商使用任何分包供应商有关的方面。供应商管理可以通过不同方式进行(见第 5 节 “供应商管理 “中的示例)。此外,供应商有义务在供应商管理过程中协助客户,允许客户按要求对供应商的设施、IT 系统和数据进行物理和逻辑访问,并提供所有相关文件等。
合作开始后,负责起草合同的客户和供应商员工并不总是被赋予操作责任。合同完成后,客户和供应商方面负责合同执行的人员应聚集在一起召开启动会议,制定进一步的细节,并讨论合同中的任何不明确之处。统一预期有助于确保双方就各自的角色和责任达成一致,并防止在合同期内出现任何误解和争议。
在客户—供应商关系中,与供应商就网络和信息安全管理进行明确的角色和责任分工。
4.2 与供应商建立合作框架
合同应确立合作框架,以及客户与供应商之间正式的沟通程序。这一程序应明确规定处理双方日常对话的程序、解决潜在争议的机制以及发生安全事件或紧急情况时的沟通途径。
客户和供应商应建立一个框架,将双方的合作固定在一个或多个论坛上,从而确保对话的连续性。该框架应根据客户的需求和对相关因素的评估来建立,如外包 IT 系统的关键性、整体合同价值以及 IT 服务供应对客户业务的战略重要性(见第 5 节“供应商管理”)。例如,该框架可由一个指导小组和一个或多个临时或长期的基础工作组组成。双方的相关代表一例如业务或管理层面的代表一应定期在这些论坛上会面,讨论供应商提供服务的情况,包括进度、当前问题以及与合同相关的修改建议。合同应说明每个合作论坛的组成和责任范围,包括会议频率和议程,并将安全作为永久议程项目。
合同应使双方能够在合同期内根据需要调整客户—供应商关系中的安全级别。
此外,客户应考虑在重新评估时,双方在合同期内应有哪些调整网络和信息安全措施的选择。客户和供应商双方的情况都可能发生变化,从而带来新的风险,就像整个威胁环境在不断演变一样。因此,合同应允许双方调整安全级别,以反映不断变化的威胁形势,例如,允许客户对供应商提出额外的安全要求。不过,合同应确保供应商的任何调整都须经客户批准,最终让客户控制与服务供应相关的安全级别。
建立合作框架和正式程序处理与供应商对话,包括日常对话及安全事件或紧急情况下的危机沟通。
第六章 信息技术外包流程之供应商管理
明日更新,敬请关注
☆☆精编版PDF可在前沿阵地星球下载☆☆
指南官方链接:
https://www.cfcs.dk/globalassets/cfcs/dokumenter/vejledninger/en/-cyber-security-in-supplier-relationships.pdf
![供应商关系中的网络安全指南(05) | 信息技术外包流程之合同阶段 供应商关系中的网络安全指南(05) | 信息技术外包流程之合同阶段]()
![供应商关系中的网络安全指南(05) | 信息技术外包流程之合同阶段 供应商关系中的网络安全指南(05) | 信息技术外包流程之合同阶段]()
原文始发于微信公众号(前沿信安资讯阵地):供应商关系中的网络安全指南(05) | 信息技术外包流程之合同阶段
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2859020.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论