许多组织都关心安全性, 信息技术(IT)服务和应用程序的隐私和供应商管理, 这是正确的. 随着越来越多的组织购买“一切即服务”(XaaS)云计算产品, 了解这些产品的安全和隐私状况的需求越来越大,因为:
- 组织可能不再控制其最敏感的数据,并且可能依赖于涉及该数据的关键业务流程的供应商.
- 组织数据可能会与供应商的其他客户的数据聚合在一起, 导致隐私问题.
- 供应商可能在其基础设施中存在影响组织的安全性或技术缺陷.
- 组织必须依靠供应商认证来遵守法律法规.
的安全性和隐私性评估工具 第三方应用程序和服务 增殖. 您可以要求软件即服务(SaaS)提供商向您提供证明其内部控制的外部审计报告. 您可以订阅为您进行安全审查的服务. 或者您可以自我评估您正在考虑在您的组织中使用的应用程序或服务. 您的选择和可用于评估IT收购的工具似乎是无限的.
虽然评估和评价工具可能是无限的, 成功进行此类安全和隐私审查的时间窗口并不存在. 在采购过程中过早地评估基于it的服务,可能会浪费您和正在考虑的供应商的时间. 在评估服务的过程中太晚,可能会更难解决您发现的任何安全和隐私问题, 特别是当您的组织确信某个特定的供应商服务或应用程序最能满足其需求时.
采购流程基础
采购流程, 尤其是那些大的, 复杂的, 以及分布式组织, 会很复杂. 在高层次上,采购过程包括:
- 征用:某部门或单位要求进行特定采购
- 采购及合约批准购买申请单的过程
- 装运和收货购买商品或服务的收据
- 应付账款为获得的商品或服务支付的费用
采购部门在每个步骤中都必须监督一些活动. 它不仅要管理招标和投标过程, 但采购部门也可能负责预算, 谈判和执行合同, 确认收到的货物或服务符合合同条款, 向供应商和服务提供商付费, 确保遵守组织政策和当地法律, 甚至保证组织的商业行为具有竞争力和道德. 因此, 与采购部门合作,概述IT采购的一般条款是至关重要的.
评估IT收购的安全性和隐私的时间表
评估和评估第三方IT服务和应用程序的安全性和隐私性可能需要时间. 它也与评估和评估组织对服务或应用程序的功能需求有所不同. 而组织的功能需求列表可能包含基本的安全和隐私规范, 在组织确定服务或应用程序满足其基本业务需求之后,应该对这些规范进行深入评估.
在对功能需求进行初步审查并创建合适产品的入围名单后,审查安全和隐私规范,确保组织不会在审查不被选择用于采购的服务和应用程序时浪费资源. 进行这种安全和隐私审查的时间是在采购和合同阶段, 通常在选择产品进行概念验证演示或继续合同谈判之前.
确保在IT收购期间充分考虑安全和隐私规范, 机构应将资讯科技和资讯安全团队纳入基本采购流程,具体如下:
- Pre-requisition
- 考虑购买IT服务或应用程序的单位应该提醒组织的IT团队潜在的购买. IT团队可以帮助单位了解组织是否已经拥有满足其需求的特定服务, 或者帮助单位了解组织的IT环境和潜在的集成问题.
- 该单元应该确定服务或应用程序的功能需求, 其中可能包括基本的安全和隐私规范.
- 征用
- 如果IT还没有被带入到关于潜在IT收购的对话中, 采购部门在收到资讯科技服务或应用申请时,应通知资讯科技单位. 这有助于确保IT部门能够帮助抵御安全, 隐私, 以及早期的整合问题.
- 采购及合约
- 供应商的入围名单, 已准备好服务和应用程序, 确保入围产品满足组织的功能需求和基本的安全和隐私规范.
- 资讯科技组会对入围名单上的服务和应用程序进行保安及私隐审查,并将审查结果通知采购部门和申请单位.
- 采购部门与IT部门合作,确保合同谈判指定了服务水平, 支持水平, 安全和隐私审计需求, 并要求在特定的天数内解决已确定的安全和隐私问题.
- 装运和收货
- 在持续的基础上, IT团队确认服务或应用程序继续满足组织的安全和隐私规范.
- 如果服务或应用程序有续订期, 采购部门和IT单位利用续订期根据需要更新安全和隐私规范.
组织应该确保采购时间表包含足够的时间让IT部门进行安全和隐私审查, 采购部门有足够的时间与IT部门和供应商协调,以防任何问题需要进一步调查, 澄清或更正. 安全和隐私审查是确保所考虑的IT服务或应用程序不会使组织面临不可接受的风险级别所不可或缺的.