供应商审计和监管的合同权利

日期: 2009-10-14 作者:Andrew M. BaerEsq.翻译:Sean 来源:TechTarget中国 英文

所有的权威标准——银行监管规则和指南、PCI数据安全标准(PCI DSS)和州立数据安全法律——都着重强调有必要进行合同前的尽职调查(due diligence),并在一定程度上,把对供应商安全措施的持续监视作为金融机构对供应商风险评估责任的一部分。因此,如果一个合同中没有明确包含审计和监视供应商的权利,供应商又不配合,那么金融机构就可能无法履行它的评估义务。   在联邦存款保险公司(FDIC)关于第三方风险的管理指南和OCC公司的2001-47号公告,以及美国联邦金融机构监理委员会FFIEC的外包技术服务的IT调查手册中都明确规定:重要的供应商合同必须保留审计的权利,或者取得对供应商进行控制……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

所有的权威标准——银行监管规则和指南、PCI数据安全标准(PCI DSS)和州立数据安全法律——都着重强调有必要进行合同前的尽职调查(due diligence),并在一定程度上,把对供应商安全措施的持续监视作为金融机构对供应商风险评估责任的一部分。因此,如果一个合同中没有明确包含审计和监视供应商的权利,供应商又不配合,那么金融机构就可能无法履行它的评估义务。

  在联邦存款保险公司(FDIC)关于第三方风险的管理指南和OCC公司的2001-47号公告,以及美国联邦金融机构监理委员会FFIEC的外包技术服务的IT调查手册中都明确规定:重要的供应商合同必须保留审计的权利,或者取得对供应商进行控制(根据合同)的独立审计报告(比如像SAS70)的权利。例如OCC公告中这样规定:“报告也应该包括对第三方的安全计划和业务连续性计划的审查。”FFIEC的手册更进一步,指出只要合同中包括了访问开放性网络的服务(比如internet),这个企业就应该考虑这样一些合同条款,“具有一定专业知识水平的、独立方进行定期控制检查,这些检查应该包括渗透测试、入侵检测、对防火墙设置的检查以及其他独立的控制检查。该企业应该得到足够详细的报告(报告立足于正在进行的审计工作)来进行正确的安全评估,同时不能影响服务提供者的安全。”

  因此,一份精心编写的供应商审计报告应该让金融机构有能力审计供应商的安全计划和数据环境,至少一年一次。如果供应商拥有大量敏感数据,应该允许现场访问数据环境以及现场参观安全措施和控制测试。如果供应商拥有PCI DSS中定义的信用卡持有者信息,金融机构的审计权也应该包含审查供应商每年PCI DSS标准的遵从情况。

  一些供应商可能会拒绝一些审计要求,而且还抱怨审计要求会使他们的业务有崩溃的危险,或者会危及一个共享主机环境中其他客户数据的安全。我们对这样的争论应该持怀疑态度。给规范机构提供外包交易和/或者数据存储业务服务的公司应该有这方面的计划,而且如果别人提出了供应商审计和供应商监视的要求,公司要有能力来处理;实际上,标准是他们的产品营销的重要组成部分。此外,上面从FFIEC手册中引用的那些话明确预示着:存在的风险越大,所需要的审计和控制测试就越严厉。对于共享主机环境,PCI DSS中的条款2.4和附录A中规定了具体的逻辑分离要求,当一个用户访问和使用数据时,这些要求能够减少对其他用户的数据访问或者安全造成的影响,降低风险。

  如果与供应商在审计权利上达不成共识,出现了僵局,那么从供应商自己拥有的、独立的审计人员手中取得审计报告(比如像SAS 70这样的审计报告)或许是一个可行的折衷办法。这么做的前提是这些审计人员在信息安全领域中有相应的资格,至少每年进行一次审计,而且所有相关网络和系统的保护和控制都包括在审计范围之内。

翻译

Sean
Sean

相关推荐