供应商资质审查中的信息安全管理背景调查 - 保密网

选择一家新供应商的时候，除了看价格、质量、交付能力，信息安全管理的背景调查也是不可忽视的一环。供应商的信息安全水平往往决定了企业数据在第三方手中时面临的风险有多大。

在供应商资质审查阶段，把信息安全管理纳入考察范围，可以在合作开始前就筛选掉那些管理水平不达标的供应商，避免后续出了管理问题才后悔。

信息安全背景调查可以从几个途径来获取有效信息。

首要个途径是供应商已有的信息安全认证。ISO 27001信息安全管理体系认证是目前全球范围内认可度比较高的标准。供应商有没有通过这个认证，认证范围是否覆盖了将要为企业服务的业务领域，认证的有效期到什么时候，这些都是可以直接了解的基础信息。除了ISO 27001之外，还有等保测评报告、SOC认证报告等。不同行业还有各自行业的安全认证标准，如果适用的话也可以纳入考察。

需要注意的是，有认证不等于管理到位。认证的状态是静态的，而供应商的信息安全管理水平是动态的。认证只是一个起点，不能替代后续的持续评估。有的供应商通过了ISO 27001认证，但认证之后多年没有进行体系的更新和改进，实际的管理水平可能已经跟认证时的标准有了很大的差距。

第二个途径是查阅供应商的历史安全记录。供应商过去是否发生过信息安全事件，事件的性质和影响程度如何，处理的方式和结果怎样，这些信息可以在询问供应商的同时，通过同行业的其他企业或者公开渠道来了解。

这不是为了揪住供应商的过去不放，而是通过历史记录来判断供应商的安全管理成熟度。从来没有发生过事件不代表安全做得好，可能只是没有被发现。发生过事件并且有规范的整改措施和改进结果的供应商，反而可能说明他们对安全的重视程度较高。

第三个途径是对供应商做信息安全管理问卷。合作之前向供应商发放一份信息安全评估问卷，问卷覆盖网络安全、数据保护、人员管理、合规性等几个维度。问卷的深入程度与供应商将要接触的信息敏感度相匹配。

问卷只是首要步，重点在于对问卷的回答进行验证。比如供应商在问卷中宣称通过了某种安全认证，可以请对方提供认证证书的复印件。供应商说采用了数据加密措施，可以请对方简要说明加密的技术实现方式。对回答模糊或者自相矛盾的地方，可以安排一次线上或者电话的补充沟通。

第四个途径是参考供应商的现有客户评价。供应商现在为哪些客户提供服务，这些客户对供应商的信息安全表现如何评价，这些都是很有价值的参考信息。可以询问供应商是否提供现有客户的安全管理评价推荐信，或者在征得供应商允许的情况下联系一两家现有客户做简短交流。

同行业企业对供应商的评价尤其有参考价值。如果同行企业已经与这家供应商合作了较长时间，对供应商的安全管理水平有直接的体验和判断，那这些信息比供应商自己说出来的要可靠得多。

第五个途径是对供应商的关键管理人员做背景了解。供应商的项目负责人和安全负责人是什么背景，有没有信息安全管理方面的经验和资历。关键人员的信息安全意识和能力，往往直接决定了该供应商在合作期间的信息安全表现。

背景调查的结果要形成书面的评估报告，作为供应商选择的决策参考。对于评估中存在信息安全管理中低风险的供应商，在合作前要求对方做出书面承诺并在后续合同中加入信息安全保障条款，把风险控制在可接受的范围内。

背景调查不是在找供应商的麻烦，而是在帮助供应商和企业一起建立一个安全可靠的合作基础。愿意在信息安全方面接受审查并积极配合的供应商，通常也是更值得长期合作的商业伙伴。