审核供应商管理程序时要考虑的五项控制

约旦内
作者: 约旦内, AWS认证云从业者,HITRUST CCSFP
发表日期: 2024年1月23日
阅读时间: 7 分钟

随着澳门赌场官方下载规模的扩大,越来越依赖于外部供应商, 有必要建立有效的供应商管理程序. 供应商管理是影响组织运作成功的基本关键功能, 效率, 声誉和风险暴露. 内部审计部门可以通过识别和评估风险来促进有效的供应商管理程序, 采取尽职调查行动, 定期监控供应商绩效, 确保合规并促进持续改进. 至少, 应该对关键供应商进行监控和审查,包括询问最近发生的任何安全事件. 通过实施一个功能性的供应商管理程序, 内部审计员通过防范潜在风险和改善供应商关系,为组织的整体成功做出贡献.

通过实施一个功能性的供应商管理程序, 内部审计员通过防范潜在风险和改善供应商关系,为组织的整体成功做出贡献.

正确看待供应商管理的重要性, 2013年塔吉特(Target)数据泄露事件的调查结果——这是近年来最臭名昭著的数据泄露事件之一——发现,塔吉特“没有限制其(供应商)访问任何系统的控制措施”, 包括商店内的设备,如销售点(POS)寄存器和服务器.”1 这意味着加热, 被调查的通风和空调(HVAC)供应商可以不受控制地进入每家塔吉特商店的每台收银机. 塔吉特的网络凭证最终被恶意行为者泄露并窃取. 如果塔吉特的领导层能回到过去,对供应商管理计划的有效性进行一次内部审计, 这些风险因素本可以更早暴露出来, 此外,还可以实施控制措施,以降低因使用授权供应商而发生安全事件的风险.

作为供应商管理计划的一部分,组织应该实施几个关键的控制. 对这些控制进行内部审计有助于降低风险并提高其有效性报告的质量.

控制1:澳门赌场官方下载供应商风险评估

澳门赌场官方下载供应商风险评估包括网络安全和治理, 风险和合规(GRC)团队与业务单位密切合作,识别和评估与供应商关系相关的潜在风险. 所有关键业务部门,如会计, 法律, 人力资源, 操作, IT, 在澳门赌场官方下载供应商风险评估期间,应考虑网络安全和供应商所有者. 有效的供应商风险评估根据供应商对组织的重要程度对其进行分类,并确定谁被认为是关键或高风险的供应商. 澳门赌场官方下载供应商风险评估, 哪些应该至少每年进行一次, 作为开发基于风险的方法以实现强大的供应商管理程序的基础. 供应商风险评估完成后, 内部审计部门可以使用可交付成果来验证评估是否通过风险排序方法(包括仔细的供应商尽职调查)确定了关键供应商.

所有关键业务部门,如会计, 法律, HR, 操作, IT, 在澳门赌场官方下载供应商风险评估期间,应考虑网络安全和供应商所有者.

控制2:通过评估监控供应商绩效

持续评估和监控供应商的表现是确保服务质量的必要条件, 遵守合同要求和规章制度. 网络安全和GRC团队应该建立绩效指标, 以关键绩效指标(kpi)的形式. kpi提供了一个清晰的, 客观有效地持续监控供应商并确定评估频率, 从而确保最佳的供应商绩效和风险管理.

定期的供应商评估通常是基于澳门赌场官方下载供应商风险评估对高风险供应商执行的. 评估确认组织通过采取以下尽职调查措施继续维持预期的安全控制:

  • 加入 审计权条款 在卖方协议中保留审核的权利, 允许组织审查反映内部系统和控制状态的官方文件
  • 审核独立鉴证报告(例如.g.,系统和组织控制[SOC] 1或SOC 2)
  • 网络安全标准的合规性认证,如支付卡行业数据安全标准(PCI-DSS)和国际标准化组织(ISO)标准ISO 27001
  • 供应商完成的网络安全调查问卷
  • 由会计师事务所执行的约定程序(AUP)证明
  • 其他行业认证(如.g.、HITRUST评估)

执行尽职调查的额外资源可能包括来自第三方来源数据和报告的供应商记分卡,或用于扫描面向公众的互联网供应商域以查找可发现的漏洞的工具.

管理层应该进行定期评估,以根据已建立的安全基准衡量供应商的性能, 识别任何偏差或异常,并在必要时执行纠正措施. 内部审核部门可以获得供应商评价结果,并确定管理层是否充分评价了供应商,作为对关键供应商定期监控的一部分. 管理部门应仔细评估和审查现有的独立保证报告,以确定报告部分是否注意到重大例外或发现. 内部审计可以测试独立保证或证明的结果是否被转换为kpi,以确定关键供应商安全控制的当前风险水平,以及供应商关系是否将组织置于高网络安全风险中.

控制3:对新供应商进行尽职调查

降低风险, 网络安全和GRC团队应确保在新供应商入职之前进行彻底的尽职调查. 供应商入职应该包括合同的签署,以确定供应商安全计划是否符合组织的期望, 特别是在网络安全和保密性方面. 对新供应商的有效尽职调查包括评估供应商资格, 凭证, 法规遵从性, 财务稳定的历史和评估供应商可用的独立保证报告. 供应商入职的标准化尽职调查流程允许内部审计部门测试由网络安全或GRC团队评估的供应商安全控制. 必须考虑各种IT和网络安全风险因素,例如:

  • 供应商提供的IT应用程序托管在哪里(e.g., 现场, 在供应商选择的托管数据中心, 在云中由供应商(例如通过软件即服务[SaaS]产品)
  • 用户如何在系统上进行身份验证和验证密码要求
  • 应用程序编程接口(API)配置或其他接口

控制4:合同和协议管理

网络安全和GRC团队应该审查供应商合同, 工作说明书(sow)或其他协议,以确定它们是否包含适用服务承诺的条款, 系统需求, 数据安全, 保密, 终止权和争议解决机制. 定期审核供应商合同有助于发现差距, 供应商未能遵守服务承诺的问题或失败, 允许及时采取纠正措施. 内部审计可与内部法律顾问合作, 网络安全或GRC团队,以测试协议和合同是否解决了与供应商提供的服务性质相关的网络安全风险.

控制5:持续改进

供应商管理应不断改进,以适应不断变化的业务需求和新出现的网络安全风险. 通常, 网络安全委员会或类似小组按照商定的时间表召开会议,报告正在进行的供应商管理计划的有效性, 特别是在澳门赌场官方下载供应商风险评估中对已识别的关键供应商的监控. 内部审核部门可对供应商管理程序的有效性进行定期评审和评价,并考虑每年评审支配该程序的供应商管理政策. 通过进行实施后审查, 内部审计员可以通过监视供应商kpi来评估控制的有效性, 确定需要改进的地方,并提出建议,以加强整体供应商管理计划.

结论

随着每天不断发现不同的攻击媒介,网络安全事件也在不断发展. 随着第三方风险的增长和变化,管理团队关注他们可以控制的足迹是至关重要的. 上面提到的5个示例控制是任何内部审计部门都可以采取的可操作步骤,它们可以通过供应商管理程序帮助降低风险并提高问责制.

尾注

1 克雷布斯,B.; 《澳门赌场官方软件》.《澳门赌场官方下载》 克雷布斯谈安全,2015年9月21日

约旦内, AWS认证云从业者,HITRUST CCSFP

卡茨萨珀公司内部控制部门的高级助理是否有保证 & 米勒的IT风险咨询和SOC服务集团. 他主要负责通过SOC和HITRUST评估测试和评估IT系统和业务流程控制. Kassing在多个行业拥有多种认证和咨询服务的经验, 但他尤其擅长评估IT和业务流程风险, 确保澳门赌场官方下载能够减轻威胁并向其客户提供有效的服务. 在加入KSM之前, 他曾在一家大型金融服务控股公司担任网络安全分析师, 他的职责包括通过安全风险评估对供应商进行尽职调查和审查,以及审查可用的独立第三方保证报告(SOC 1, SOC 2)和用于治理的安全问卷, 风险管理和合规.

额外的资源