供应商安全:与供应商签订合同时容易犯的四大错误ReportingandSecurityPolicies”。别误会,这些信息无疑是供应商安全态势评估的重点。但问题是,如果供应商未能遵守、遭受数据泄露、对其系统和数据处理不当……那么这些报告和政策就毫无价值。供应商合同中容易出现四大错误。除非避免这些失误,即使有最好的安全措施行业文档,供应商可能会给客户带来重大风险。下面列出的几个问题是从数百次交易中吸取的教训。此外,它们是监管机构在供应商合同中发现的常见问题点。所以不要成为这些问题的牺牲品谈判供应商协议时的错误。错误1:没有进行尽职调查第一个失误涉及甚至没有进行基本的供应商尽职调查。事先尽职调查sho在进入具体的合同谈判阶段之前,应该对每个供应商进行。显然,尽职调查的范围和深度与双方合作的规模和重要性成正比。许多公司在执行供应商尽职调查时使用广泛的调查问卷。虽然这当然是尽职调查的一个关键要素,但调查问卷只能说明部分情况,而且供应商经常在反馈中夸大甚至提供错误信息。作为补充,公司应该会见供应商及其一些当前和过去的客户。避免只联系供应商官方推荐名单上的客户。有时询问两三个未选择与提供商续订的客户是合适的。在大规模合作的情况下,还可能对相关供应商进行广泛的互联网搜索和诉讼搜索(包括监管相关行动)。错误2:未能定义供应商责任下一个严重的失败是责任问题。这是老生常谈,但值得再次总结。每个供应商协议都将包含“责任限制”,确定供应商根据协议承担的责任。也就是说,如果供应商违反协议(例如造成数据泄露或其他安全事件),此责任限制条款决定了您可以从供应商处获得的损害赔偿金额。虽然可能有些令人惊讶,但在许多真实案例中,供应商甚至不对重大恶意行为负责或不承担实质性责任。因此,在审查供应商协议时,应首先考虑此责任限制条款。不要陷入这样一种情况,即您拥有精美的安全语言,但在供应商未能履行其安全责任时却无力挽回任何重大损失。错误3:未能防止服务降级这个错误经常被忽视。在建立合作伙伴关系的尽职调查阶段,客户将被告知供应商的安全做法,并根据该信息决定是否注册。但合同往往赋予供应商在不通知客户的情况下随意改变这些操作的权力,客户无权反对。换句话说,引导您进行签名步骤的安全信息将来可能不再有效。甚至可能会放弃部分或全部这些优秀的安全实践。大多数供应商都不愿意将他们的安全操作永远保留在他们注册时提供的版本上。这可能违背客户的最大利益。毕竟,新类型的风险和漏洞一直在出现。客户还希望供应商不断更新他们的安全操作以解决这些新问题。那么,你如何解决这个问题?最简单的方法是在您的合同中包含防止供应商显着降低其整体安全方法的条款。供应商可以改进他们的安全操作,但他们不能“倒退”。错误4:忘记监管机构让我们面对现实吧,世界已经改变了!越来越多的监管机构正在处理信息安全和隐私问题,尤其是在医疗保健、金融服务以及消费者服务和产品方面。一些监管机构有权直接评估公司的第三方供应商关系,以确定它们是否构成重大风险,如果是,则需要减轻该风险。如果您签订了一份为期五年的合同,并且监管机构发现需要修改协议以满足客户的监管责任(例如医疗服务提供商未能就供应商的隐私或安全责任份额进行谈判;银行未能就分包是否有适当的控制?正确的方法是在合同中包含承认监管机构有权审查合伙关系的条款,如果发现问题,各方需要真诚合作解决问题。如果各方不能就此问题达成一致,或者如果解决方案不能令监管机构满意,客户应有权终止合同而无需支付赔偿。这一关键保障措施在当前的监管环境中变得越来越重要。而上述四个问题可能是显然,仍有许多供应商合同没有考虑到这些因素。吸取的教训这数百个现实生活中的案例值得借鉴。在签订供应商协议时必须充分考虑并避免这些错误。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
