首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 准备你的第一个供应商审核计划

准备你的第一个供应商审核计划

奇阿南德
作者: 奇阿南德, CDPSE, 敏捷Scrum大师, CCIO, CPISI, OneTrust隐私技术研究员, IRAM2, Iso 27001 la, Iso 22301 la, ISO 27701, ISO 31000, Iso 9001 la, 精益六西格玛绿带, NLSIU隐私和数据保护法, SQAM
发表日期: 2022年7月7日

组织外包流程和服务的原因有很多:为了降低成本, 保护资源, 为发展留出空间,并在行业中保持竞争力. 但, 最终, 它是澳门赌场官方下载, 不是供应商, 在法律上和合同上都有责任保护其信息. 维护资讯保安, 数据隐私, 业务连续性, 以及提供服务, 机构应定期监察, 审查和审核供应商. 因此,为准备第一个供应商审核计划而检查最佳实践是值得的.

建立执行供应商审核的标准

审计所有的供应商可能具有挑战性(或几乎不可能), 特别是对于使用许多服务的大型组织. 因此,至关重要的是建立标准,以帮助选择哪些供应商进行审计. 标准可能包括供方处理的信息类型, 供应商获取信息的级别, 外包过程或提供服务的重要性, 供应商风险和/或客户合同义务.

了解审计需求

供方审核员必须了解供方审核的独特要求. 例如,可能存在他们必须遵守的当地法律和法规要求(e).g., 欧盟一般资料保护规例(GDPR), 印度的信息技术法案, 美国加利福尼亚州消费者隐私法(CCPA). 需求也可能来自合同, 主服务协议或与客户达成协议的附件(e.g., 客户要求组织以服务提供为重点审核组织的供应商, 信息安全, 业务连续性, 隐私或这些重点领域的组合). 除了, 如果组织已通过或计划通过国际标准化组织(ISO)/国际电工委员会(IEC)信息安全管理体系标准27001:2013认证, 然后应用它的要求(e).g.、管制A.15.2.1—监督和审核供应商服务). 组织也可以有自己的政策,描述进行供应商审核的要求. 进一步, 组织可能已与供方就包括审核权条款达成协议, 进行供应商审核的先决条件是什么.

供应商审核通过识别适用的要求来解释风险,并确保与供应商管理层沟通,以确定风险阈值并实施所需的控制.

供应商审核计划

建议采用基于风险的方法对供应商进行审计, 哪一项应用于已建立的供应商审核方法. 供应商审核通过识别适用的要求来解释风险,并确保与供应商管理层沟通,以确定风险阈值并实施所需的控制. 基于风险的供应商审计解决了由于安全措施不足等漏洞而发生事件的可能性, 技术, 政策和程序. 在审计发现中添加风险声明可以增加供应商审计过程的价值. 应创建一个审核计划,以解决审核的目的、范围和标准.

审计的目的
审核的目的可以是确定供方与供方协议的符合程度,或评价供方满足组织要求的能力. 审计也可以为更具体的目的进行,例如:

  • 确定资讯保安事故和问题是否得到妥善管理
  • 确定供应商服务或业务状况的变化是否影响了服务的提供
  • 审核供应商的审计跟踪和信息安全事件记录, operational problems and failures; tracing of faults; and disruptions related to the service delivered
  • 确定遵守资料私隐的程度
  • 评估供应商的业务连续性能力

审计范围
审核范围应包括组织的实际位置(如适用)及其业务功能, 活动和过程. 范围应与供方审核计划和供方审核目标相一致.

审计标准
审核准则被用作确定符合性的参考. 评审标准可包括下列一项或多项:

  • 适用的政策、流程和程序
  • 绩效标准包括目标、法律法规要求
  • 供应商协议或时间表

审计可能侧重于信息安全等领域, 网络安全, 数据隐私或业务连续性.

此外,审核计划应包含以下细节:

  • 哪个审核员在哪个位置审核哪些领域或过程
  • 审计各部分的日期和时间
  • 整个审计的持续时间和每个单独领域或功能评估的持续时间
  • 供方组织的审核方
  • 审计模式(1).e.(现场、远程、混合)

审计计划应考虑到简报的时间(如.e.(设定语境和语气),汇报(1).e.(披露审计结果)和工作日的休息时间,以便有效地管理时间. 在某些情况下, 审计计划可能包括使用官方口译员或笔译员, 技术专家(如.g., 来自组织业务部门的代表或外部资源)和/或审核指南(i.e.,协助审核的供应商组织代表一名).

在某一特定过程中,应注意使审核员和被审核员的时间不重叠. 在将审核结果作为汇报会议的一部分正式披露之前,必须为供应商审核员分配足够的时间来审查和讨论审核结果. 审计计划必须灵活,并考虑到节假日、当地法规和限制(如.g.(由于COVID-19大流行而封锁),以及人员的可用性. 供应商应提前很好地审核并签署审核计划,以免出现意外情况.

准备供应商审核清单

进行第一次独立供应商审核的审核员可以从准备一份他们希望在每个过程域中审核的项目清单中获益.

审核期间可能审查的项目包括:

  • 供应商如何跟踪供应商合同的符合性?
  • 如果不满足特定的服务水平协议(SLA),将采取什么措施?
  • 供应商如何跟踪遵守适用的和相关的法律法规要求?
  • 如果供应商发现有不符合法律规定的问题,采取什么行动?
  • 供应商管理信息安全和隐私风险的方法是什么?
  • 供应商如何确保所有员工都接受了信息安全和隐私方面的培训?

清单不应该产生任何偏见, 而, 它应有助于及时充分评估相关领域,并为新审计师提供信心. 该列表的输入可以来自以下内容:

  • 供应商协议
  • 具体的信息安全、数据隐私和业务连续性计划
  • 安全事故
  • 客户组织的合同信息安全, 业务连续性和数据隐私要求
  • 适用的法律法规要求、组织政策、过程和程序

研究供应商组织的网站以了解其整体运作可能会有所帮助, 服务提供和管理. 审核员还可以从组织的利益相关者那里获得关于其供应商的反馈,作为另一个输入来源. 审核项目清单可以在审核前几天与供应商进行讨论和审核. 审核员应计划在审核期间用客观证据验证供方的答复.

结论

供方审核的成功与否取决于供方审核计划. 对供应商审核员来说,全面和提前计划是很重要的. 审核计划应清楚地说明审核的目的, 范围, 标准, 可利用的资源和活动时间表. 供方组织应在审核前对审核计划进行评审和批准. 第一次供应商审核的经验教训应作为后续审核的输入,因为这有助于供应商审核计划过程的持续改进.

奇阿南德, CDPSE, 敏捷Scrum大师, CCIO, CPISI, OneTrust隐私技术研究员, IRAM2, Iso 27001 la, Iso 22301 la, ISO 27701, ISO 31000, Iso 9001 la, 精益六西格玛绿带, NLSIU隐私和数据保护法, SQAM

是否在Profinch Solutions担任信息安全副总裁兼首席信息安全官(CISO), 他在哪里监督信息安全的所有战略和运营方面. 他在信息和网络安全方面拥有19年的专业经验, 业务连续性, 隐私, 风险与质量. 他曾在IT等多个行业工作过, 支持资讯科技的服务(ITES), fintech, 医疗保健, 药品, 制造业, 研究与开发, 包括技术方面的能力, 管理和领导角色. 他为信息安全论坛(ISF)关于持续供应链保证的研究做出了贡献,并协助ISF工具的报告审查和功能测试. 他还志愿加入印度标准局,参与国际标准化组织(ISO)的标准制定和技术委员会工作.