供應(yīng)商安全:與供應(yīng)商簽約時(shí)容易犯下的四個(gè)重大失誤
說到信息安全,與供應(yīng)商簽約往往是繞不開的一個(gè)話題,而且整個(gè)關(guān)注焦點(diǎn)往往在 “拿出你的審計(jì)報(bào)告和安全策略” 上。別誤會(huì),這些信息無疑是供應(yīng)商安全狀況評(píng)估中的重點(diǎn)。但問題在于,如果供應(yīng)商無法遵守、遭遇數(shù)據(jù)泄露、不當(dāng)處理其系統(tǒng)和數(shù)據(jù)……那這些報(bào)告和策略中的內(nèi)容就毫無價(jià)值。
供應(yīng)商簽約中容易出現(xiàn)四個(gè)重大失誤。除非避開這些失誤,否則就算具備業(yè)內(nèi)最佳安全文檔,供應(yīng)商也會(huì)給客戶帶來重大風(fēng)險(xiǎn)。下面列出的這幾個(gè)問題代表了數(shù)百交易中學(xué)到的經(jīng)驗(yàn)教訓(xùn)。另外,它們也是監(jiān)管機(jī)構(gòu)常會(huì)在供應(yīng)商合同中找出的問題點(diǎn)。因此,商討供應(yīng)商協(xié)議時(shí),別淪為這些失誤的受害者。
失誤 1:未做盡職調(diào)查
第一個(gè)失誤涉及連基本的供應(yīng)商盡職調(diào)查都沒做。在進(jìn)入具體合同談判階段之前,應(yīng)對(duì)每一個(gè)供應(yīng)商做好事前盡職調(diào)查。很明顯,盡職調(diào)查的范圍和深度與雙方合作的規(guī)模和重要性成正比。
很多公司在執(zhí)行供應(yīng)商盡職調(diào)查時(shí)采用廣泛問卷調(diào)查的方式。雖說這肯定是盡職調(diào)查中的關(guān)鍵元素,但問卷調(diào)查表僅能反映部分情況,且供應(yīng)商往往會(huì)夸大其詞,甚至在反饋中提供錯(cuò)誤信息。作為補(bǔ)充,公司企業(yè)應(yīng)約見供應(yīng)商及其當(dāng)前和過去的一些客戶。避免只聯(lián)系供應(yīng)商官方推薦列表中的那些客戶。有時(shí)候,問兩到三家未選擇與該供應(yīng)商續(xù)約的客戶比較合適。如果是大規(guī)模合作,或許還應(yīng)對(duì)相關(guān)供應(yīng)商進(jìn)行廣泛的互聯(lián)網(wǎng)搜索與訴訟檢索(包括監(jiān)管相關(guān)動(dòng)作)。
失誤 2:未規(guī)定供應(yīng)商責(zé)任
接下來的關(guān)鍵失誤是責(zé)任問題。此乃老生常談,但仍值得再次做個(gè)總結(jié)。每個(gè)供應(yīng)商協(xié)議都會(huì)包含 “責(zé)任限定”,確定供應(yīng)商在協(xié)議限定下應(yīng)承擔(dān)多少責(zé)任。也就是說,如果供應(yīng)商違反協(xié)議(比如導(dǎo)致數(shù)據(jù)泄露或其他安全事件),此責(zé)任限定條款決定了你能從供應(yīng)商身上彌補(bǔ)回來的損失數(shù)額。雖然或許有點(diǎn)令人意外,但無數(shù)現(xiàn)實(shí)案例中供應(yīng)商甚至連重大惡性行為都無需擔(dān)責(zé)或不承擔(dān)實(shí)質(zhì)性責(zé)任。因此,審核供應(yīng)商協(xié)議時(shí)最先該看的就是此責(zé)任限定條款。千萬別在供應(yīng)商未能履行其安全職責(zé)時(shí),陷入空有漂亮安全用語,卻無力挽回任何重大損失的窘境。
失誤 3:未防服務(wù)降級(jí)
該失誤常被忽略。在建立合作關(guān)系的盡職調(diào)查階段,客戶將獲知有關(guān)供應(yīng)商安全操作的信息,依賴該信息決定要不要簽約。但合同往往會(huì)賦予供應(yīng)商隨意改變這些操作的權(quán)力,都不用通知客戶,客戶也無力反對(duì)。也就是說,引你走至簽約步驟的那些安全信息,將來未必是有效的。這些優(yōu)秀的安全操作甚至有可能部分或全部被拋棄。
大多數(shù)供應(yīng)商都不會(huì)愿意將自己的安全操作永遠(yuǎn)保持在簽約當(dāng)時(shí)給出的那個(gè)版本上的。而且這還可能有悖于客戶的最佳利益。畢竟,新型風(fēng)險(xiǎn)和漏洞層出不窮。客戶也希望供應(yīng)商能不斷更新其安全操作以應(yīng)對(duì)這些新問題。那么,如何解決這一問題?最簡單的方法就是在合同中包含防止供應(yīng)商顯著降低其整體安全方法的條款。供應(yīng)商可以改善其安全操作,但不能 “往回走”。
失誤 4:忘了監(jiān)管機(jī)構(gòu)
直面現(xiàn)實(shí)吧,世界變了!越來越多的監(jiān)管機(jī)構(gòu)涉及信息安全和隱私,尤其是在醫(yī)療、金融服務(wù)和消費(fèi)服務(wù)及產(chǎn)品領(lǐng)域。有些監(jiān)管機(jī)構(gòu)有權(quán)直接評(píng)估公司的第三方供應(yīng)商關(guān)系,確定其是否會(huì)帶來實(shí)質(zhì)性風(fēng)險(xiǎn),如果會(huì),就要求緩解該風(fēng)險(xiǎn)。
如果你簽了五年合約,卻有監(jiān)管機(jī)構(gòu)發(fā)現(xiàn)該協(xié)議需做修改才符合客戶的監(jiān)管責(zé)任(比如醫(yī)療提供商未能談妥供應(yīng)商應(yīng)負(fù)的那部分隱私或安全責(zé)任;銀行未對(duì)供應(yīng)商的轉(zhuǎn)包行為作出恰當(dāng)控制),會(huì)發(fā)生什么情況?正確做法是在合同中包含承認(rèn)監(jiān)管機(jī)構(gòu)有權(quán)審查此合作關(guān)系的條款,如果發(fā)現(xiàn)問題,各方需抱持善意共同解決。若各方無法就此問題達(dá)成一致,或解決方案不能令監(jiān)管機(jī)構(gòu)滿意,客戶應(yīng)享有不支付賠償即終止合約的權(quán)力。這一關(guān)鍵保護(hù)措施在當(dāng)前監(jiān)管環(huán)境中變得越來越重要了。
雖然以上四個(gè)問題可能顯而易見,但仍有很多供應(yīng)商合約并未將之納入考慮。前事不忘后事之師,這些數(shù)百個(gè)現(xiàn)實(shí)案例中總結(jié)出來的經(jīng)驗(yàn)教訓(xùn)值得一學(xué)。簽訂供應(yīng)商協(xié)議時(shí)一定充分考慮并避免留下這些失誤。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
