說到信息安全，與供應(yīng)商簽約往往是繞不開的一個話題，而且整個關(guān)注焦點往往在 “拿出你的審計報告和安全策略” 上。別誤會，這些信息無疑是供應(yīng)商安全狀況評估中的重點。但問題在于，如果供應(yīng)商無法遵守、遭遇數(shù)據(jù)泄露、不當(dāng)處理其系統(tǒng)和數(shù)據(jù)……那這些報告和策略中的內(nèi)容就毫無價值。

[[280051]]

供應(yīng)商簽約中容易出現(xiàn)四個重大失誤。除非避開這些失誤，否則就算具備業(yè)內(nèi)最佳安全文檔，供應(yīng)商也會給客戶帶來重大風(fēng)險。下面列出的這幾個問題代表了數(shù)百交易中學(xué)到的經(jīng)驗教訓(xùn)。另外，它們也是監(jiān)管機(jī)構(gòu)常會在供應(yīng)商合同中找出的問題點。因此，商討供應(yīng)商協(xié)議時，別淪為這些失誤的受害者。

失誤 1：未做盡職調(diào)查

第一個失誤涉及連基本的供應(yīng)商盡職調(diào)查都沒做。在進(jìn)入具體合同談判階段之前，應(yīng)對每一個供應(yīng)商做好事前盡職調(diào)查。很明顯，盡職調(diào)查的范圍和深度與雙方合作的規(guī)模和重要性成正比。

很多公司在執(zhí)行供應(yīng)商盡職調(diào)查時采用廣泛問卷調(diào)查的方式。雖說這肯定是盡職調(diào)查中的關(guān)鍵元素，但問卷調(diào)查表僅能反映部分情況，且供應(yīng)商往往會夸大其詞，甚至在反饋中提供錯誤信息。作為補(bǔ)充，公司企業(yè)應(yīng)約見供應(yīng)商及其當(dāng)前和過去的一些客戶。避免只聯(lián)系供應(yīng)商官方推薦列表中的那些客戶。有時候，問兩到三家未選擇與該供應(yīng)商續(xù)約的客戶比較合適。如果是大規(guī)模合作，或許還應(yīng)對相關(guān)供應(yīng)商進(jìn)行廣泛的互聯(lián)網(wǎng)搜索與訴訟檢索(包括監(jiān)管相關(guān)動作)。

失誤 2：未規(guī)定供應(yīng)商責(zé)任

接下來的關(guān)鍵失誤是責(zé)任問題。此乃老生常談，但仍值得再次做個總結(jié)。每個供應(yīng)商協(xié)議都會包含 “責(zé)任限定”，確定供應(yīng)商在協(xié)議限定下應(yīng)承擔(dān)多少責(zé)任。也就是說，如果供應(yīng)商違反協(xié)議(比如導(dǎo)致數(shù)據(jù)泄露或其他安全事件)，此責(zé)任限定條款決定了你能從供應(yīng)商身上彌補(bǔ)回來的損失數(shù)額。雖然或許有點令人意外，但無數(shù)現(xiàn)實案例中供應(yīng)商甚至連重大惡性行為都無需擔(dān)責(zé)或不承擔(dān)實質(zhì)性責(zé)任。因此，審核供應(yīng)商協(xié)議時最先該看的就是此責(zé)任限定條款。千萬別在供應(yīng)商未能履行其安全職責(zé)時，陷入空有漂亮安全用語，卻無力挽回任何重大損失的窘境。

失誤 3：未防服務(wù)降級

該失誤常被忽略。在建立合作關(guān)系的盡職調(diào)查階段，客戶將獲知有關(guān)供應(yīng)商安全操作的信息，依賴該信息決定要不要簽約。但合同往往會賦予供應(yīng)商隨意改變這些操作的權(quán)力，都不用通知客戶，客戶也無力反對。也就是說，引你走至簽約步驟的那些安全信息，將來未必是有效的。這些優(yōu)秀的安全操作甚至有可能部分或全部被拋棄。

大多數(shù)供應(yīng)商都不會愿意將自己的安全操作永遠(yuǎn)保持在簽約當(dāng)時給出的那個版本上的。而且這還可能有悖于客戶的最佳利益。畢竟，新型風(fēng)險和漏洞層出不窮?？蛻粢蚕Ｍ?yīng)商能不斷更新其安全操作以應(yīng)對這些新問題。那么，如何解決這一問題?最簡單的方法就是在合同中包含防止供應(yīng)商顯著降低其整體安全方法的條款。供應(yīng)商可以改善其安全操作，但不能 “往回走”。

失誤 4：忘了監(jiān)管機(jī)構(gòu)

直面現(xiàn)實吧，世界變了!越來越多的監(jiān)管機(jī)構(gòu)涉及信息安全和隱私，尤其是在醫(yī)療、金融服務(wù)和消費(fèi)服務(wù)及產(chǎn)品領(lǐng)域。有些監(jiān)管機(jī)構(gòu)有權(quán)直接評估公司的第三方供應(yīng)商關(guān)系，確定其是否會帶來實質(zhì)性風(fēng)險，如果會，就要求緩解該風(fēng)險。

如果你簽了五年合約，卻有監(jiān)管機(jī)構(gòu)發(fā)現(xiàn)該協(xié)議需做修改才符合客戶的監(jiān)管責(zé)任(比如醫(yī)療提供商未能談妥供應(yīng)商應(yīng)負(fù)的那部分隱私或安全責(zé)任;銀行未對供應(yīng)商的轉(zhuǎn)包行為作出恰當(dāng)控制)，會發(fā)生什么情況?正確做法是在合同中包含承認(rèn)監(jiān)管機(jī)構(gòu)有權(quán)審查此合作關(guān)系的條款，如果發(fā)現(xiàn)問題，各方需抱持善意共同解決。若各方無法就此問題達(dá)成一致，或解決方案不能令監(jiān)管機(jī)構(gòu)滿意，客戶應(yīng)享有不支付賠償即終止合約的權(quán)力。這一關(guān)鍵保護(hù)措施在當(dāng)前監(jiān)管環(huán)境中變得越來越重要了。

雖然以上四個問題可能顯而易見，但仍有很多供應(yīng)商合約并未將之納入考慮。前事不忘后事之師，這些數(shù)百個現(xiàn)實案例中總結(jié)出來的經(jīng)驗教訓(xùn)值得一學(xué)。簽訂供應(yīng)商協(xié)議時一定充分考慮并避免留下這些失誤。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文