说到信息安全,与供应商签约往往是绕不开的一个话题,而且整个关注焦点往往在 “拿出你的审计报告和安全策略” 上。别误会,这些信息无疑是供应商安全状况评估中的重点。但问题在于,如果供应商无法遵守、遭遇数据泄露、不当处理其系统和数据……那这些报告和策略中的内容就毫无价值。
供应商签约中容易出现四个重大失误。除非避开这些失误,否则就算具备业内最佳安全文档,供应商也会给客户带来重大风险。下面列出的这几个问题代表了数百交易中学到的经验教训。另外,它们也是监管机构常会在供应商合同中找出的问题点。因此,商讨供应商协议时,别沦为这些失误的受害者。
失误 1:未做尽职调查
第一个失误涉及连基本的供应商尽职调查都没做。在进入具体合同谈判阶段之前,应对每一个供应商做好事前尽职调查。很明显,尽职调查的范围和深度与双方合作的规模和重要性成正比。
很多公司在执行供应商尽职调查时采用广泛问卷调查的方式。虽说这肯定是尽职调查中的关键元素,但问卷调查表仅能反映部分情况,且供应商往往会夸大其词,甚至在反馈中提供错误信息。作为补充,公司企业应约见供应商及其当前和过去的一些客户。避免只联系供应商官方推荐列表中的那些客户。有时候,问两到三家未选择与该供应商续约的客户比较合适。如果是大规模合作,或许还应对相关供应商进行广泛的互联网搜索与诉讼检索(包括监管相关动作)。
失误 2:未规定供应商责任
接下来的关键失误是责任问题。此乃老生常谈,但仍值得再次做个总结。每个供应商协议都会包含 “责任限定”,确定供应商在协议限定下应承担多少责任。也就是说,如果供应商违反协议(比如导致数据泄露或其他安全事件),此责任限定条款决定了你能从供应商身上弥补回来的损失数额。虽然或许有点令人意外,但无数现实案例中供应商甚至连重大恶性行为都无需担责或不承担实质性责任。因此,审核供应商协议时最先该看的就是此责任限定条款。千万别在供应商未能履行其安全职责时,陷入空有漂亮安全用语,却无力挽回任何重大损失的窘境。
失误 3:未防服务降级
该失误常被忽略。在建立合作关系的尽职调查阶段,客户将获知有关供应商安全操作的信息,依赖该信息决定要不要签约。但合同往往会赋予供应商随意改变这些操作的权力,都不用通知客户,客户也无力反对。也就是说,引你走至签约步骤的那些安全信息,将来未必是有效的。这些优秀的安全操作甚至有可能部分或全部被抛弃。
大多数供应商都不会愿意将自己的安全操作永远保持在签约当时给出的那个版本上的。而且这还可能有悖于客户的最佳利益。毕竟,新型风险和漏洞层出不穷。客户也希望供应商能不断更新其安全操作以应对这些新问题。那么,如何解决这一问题?最简单的方法就是在合同中包含防止供应商显著降低其整体安全方法的条款。供应商可以改善其安全操作,但不能 “往回走”。
失误 4:忘了监管机构
直面现实吧,世界变了!越来越多的监管机构涉及信息安全和隐私,尤其是在医疗、金融服务和消费服务及产品领域。有些监管机构有权直接评估公司的第三方供应商关系,确定其是否会带来实质性风险,如果会,就要求缓解该风险。
如果你签了五年合约,却有监管机构发现该协议需做修改才符合客户的监管责任(比如医疗提供商未能谈妥供应商应负的那部分隐私或安全责任;银行未对供应商的转包行为作出恰当控制),会发生什么情况?正确做法是在合同中包含承认监管机构有权审查此合作关系的条款,如果发现问题,各方需抱持善意共同解决。若各方无法就此问题达成一致,或解决方案不能令监管机构满意,客户应享有不支付赔偿即终止合约的权力。这一关键保护措施在当前监管环境中变得越来越重要了。
虽然以上四个问题可能显而易见,但仍有很多供应商合约并未将之纳入考虑。前事不忘后事之师,这些数百个现实案例中总结出来的经验教训值得一学。签订供应商协议时一定充分考虑并避免留下这些失误。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】