每次遇到企业说"我们每年都做供应商审计,没发现什么问题",我都会多问一句:你们的审计是看发票和交期,还是也看数据和信息安全管理?大部分人的回答是前者。
这其实反映了企业第三方服务审计的一个普遍缺口。采购部门做的供应商年度评审,主要关注的是价格、质量、交期这些显性指标。但数据安全、信息保密这些隐性风险,往往没有被纳入审计范围。直到出了事往回看,才发现原来供应商的安全管理一直是真空。
第三方服务安全审计到底该看哪些环节,我结合自己做审计的经验梳理几条。
首要个必看环节是供应商的数据资产台账。你得先搞清楚供应商手里到底存了你们多少数据、存在哪、哪些人碰过。很多企业把数据交给供应商之后就没再管过,供应商内部有没有备份、有没有把数据拷贝到个人电脑、有没有上传到未经授权的云盘,一概不知。
审计时要让供应商出示数据资产清单,包括数据类型、存储位置、存储期限、访问人员名单。然后做抽样核对,看看清单是否完整、是否更新到近期状态。我审计过一家软件外包公司,对方给的数据资产清单上列了三个系统,但实际上他们用了一个不在清单上的测试数据库,里面全是真实客户数据。这种情况不抽样核对根本发现不了。
第二个必看环节是供应商的访问控制落地情况。不只看制度有没有写,要看系统里实际配置是不是那么回事。比如他们的管理制度写的是"按需授权",但实际查下来,一个普通运维人员手里有完整的数据库管理权限,访问记录也没有敏感性审查。
在这类问题上我的经验是多做系统抽查。随机抽几个供应商的账号,看看它们的权限设置是否匹配员工的实际岗位。随机抽几份近期的访问日志,看看有没有异常的查询模式。这些操作不需要太复杂的技术手段,靠人工加上一些基础工具就能完成。
第三个必看环节是供应商的员工保密培训和离职管理。这一块很容易被忽略,但泄密事件往往就出在这里。供应商的人员流动性大、培训成本压力大,有时候新员工入职一周了还不知道公司的保密制度是什么。
审计时要查看供应商的保密培训记录,包括培训频率、培训内容、参训人员签到表。关键岗位的人员要单独确认是否签署了保密承诺书。离职管理方面,要看是否有规范的离职账号注销流程,离职人员是否签署了离职保密承诺。
第四个必看环节是供应商的应急响应能力。一旦发生数据泄露,供应商能不能在首要时间发现并通知企业,直接影响后续的损失控制。审计时可以模拟一个低级告警,看看供应商的响应速度和处理流程是否规范。
我在审计时还喜欢加一个额外的观察项,就是供应商的物理安全。他们存放数据的主机放在什么样的机房里,机房的门禁管理怎么样,是否有视频监控,进入机房是否需要双人陪同。物理安全虽然不是信息安全的全部,但往往是安全管理意识的晴雨表。
第三方服务安全审计的频率与深度也要和风险等级挂钩。对于核心数据外包服务,建议每半年做一次全面审计;对于一般性质的服务外包,每年一次即可。审计结果要形成正式的整改通知单,供应商的整改进度和关闭情况要有跟踪记录。
真正有效的审计不是去查供应商的错,而是帮供应商和企业一起把安全管理体系补完整。出问题的时候,审计记录和数据安全流程也是企业证明自己履行了管理责任的依据。
