CIO如何限制IT外包的风险
来源:CPDA数据分析师网 / 作者:数据君 / 时间:2021-05-26
这也意味着IT必须评估服务提供商的政策和程序的有效性
以确保公司敏感数据和专有信息的完整性和安全性,据估计,IT外包行业每年的规模为1万亿元,其形式多种多样,企业可以将其整个IT部门移交给供应商,也可以雇用一个人来执行数据中心操作,网络管理或其他特定功能。
通常外包的IT功能包括:
软件应用程序开发,
软件应用程序支持,
数据中心运营
服务台支持,
网络管理,
网络安全,
平台或基础架构即服务,以及
软件作为服务。
过去,首席信息官主要专注于实物产品供应链。但是,今天,他们必须关注产品和服务的供应链。
评估和管理第三方技术服务提供商的风险可能是一个挑战
因为大部分服务环境都在提供商的控制之下,并且很可能超出了收购组织的权限。必须提前进行尽职调查,以评估与聘请外部人士相关的风险。
在与IT服务提供商合作之前,CIO必须了解:
外包什么
服务将支持哪些业务流程,
通过外包服务将存储,处理或访问哪些数据,以及
谁将有权访问与外包服务有关的系统,应用程序和数据。
该过程可以从基本的IT服务风险评估表开始,该表旨在从组织内的员工那里获取对这些问题的答案。此外,供应商预评估表可用于从潜在服务提供商那里收集初步信息。供应商预评估表中常见的问题包括:
贵公司是否曾宣布破产?
贵公司的保险单是否包括错误和遗漏(或一般责任)索赔?如果是,该政策的限制是什么?
贵公司是否参与未决诉讼?
您的公司曾经参加过监管调查吗?
贵公司是否有隐私政策?
贵公司是否已制定文件化的安全程序?
贵公司是否同意填写有关您的信息安全和隐私计划的调查表?
贵公司是否有服务组织控制报告?
贵公司是否有全面的业务连续性计划,以在事件中断正常运营的情况下解决业务连续性问题?
这些评估表应提供足够的信息,以确定是否需要额外的努力。根据潜在风险的程度,这种额外的努力可能包括要求服务提供商回答更详细的调查问卷;详细检查服务提供商的SOC报告,或与组织的内部审核职能或合格的外部审核公司合作进行卖方评估。
与新提供商建立关系时,进行这些评估至关重要
同样重要的是要持续不断地审查每个供应商,这些审查的频率和程度应基于与所提供服务有关的风险,这些评估是针对服务提供商而设计的,但是这些概念也可以适用于关键技术产品提供商,对于CIO来说,主要的事情是了解与供应商合作的潜在风险,并了解每个供应商如何管理其业务风险,这样CIO将能够更好地预测外包风险对组织的影响,服务提供商评估可以分配给组织内的各种职能,包括IT,风险管理或内部审计,评估也可以由合格的第三方执行。
CIO或等效的IT负责人有责任审查从评估中收集的信息
以确保公司敏感数据和专有信息的完整性和安全性,据估计,IT外包行业每年的规模为1万亿元,其形式多种多样,企业可以将其整个IT部门移交给供应商,也可以雇用一个人来执行数据中心操作,网络管理或其他特定功能。
通常外包的IT功能包括:
软件应用程序开发,
软件应用程序支持,
数据中心运营
服务台支持,
网络管理,
网络安全,
平台或基础架构即服务,以及
软件作为服务。
过去,首席信息官主要专注于实物产品供应链。但是,今天,他们必须关注产品和服务的供应链。
评估和管理第三方技术服务提供商的风险可能是一个挑战
因为大部分服务环境都在提供商的控制之下,并且很可能超出了收购组织的权限。必须提前进行尽职调查,以评估与聘请外部人士相关的风险。
在与IT服务提供商合作之前,CIO必须了解:
外包什么
服务将支持哪些业务流程,
通过外包服务将存储,处理或访问哪些数据,以及
谁将有权访问与外包服务有关的系统,应用程序和数据。
该过程可以从基本的IT服务风险评估表开始,该表旨在从组织内的员工那里获取对这些问题的答案。此外,供应商预评估表可用于从潜在服务提供商那里收集初步信息。供应商预评估表中常见的问题包括:
贵公司是否曾宣布破产?
贵公司的保险单是否包括错误和遗漏(或一般责任)索赔?如果是,该政策的限制是什么?
贵公司是否参与未决诉讼?
您的公司曾经参加过监管调查吗?
贵公司是否有隐私政策?
贵公司是否已制定文件化的安全程序?
贵公司是否同意填写有关您的信息安全和隐私计划的调查表?
贵公司是否有服务组织控制报告?
贵公司是否有全面的业务连续性计划,以在事件中断正常运营的情况下解决业务连续性问题?
这些评估表应提供足够的信息,以确定是否需要额外的努力。根据潜在风险的程度,这种额外的努力可能包括要求服务提供商回答更详细的调查问卷;详细检查服务提供商的SOC报告,或与组织的内部审核职能或合格的外部审核公司合作进行卖方评估。
与新提供商建立关系时,进行这些评估至关重要
同样重要的是要持续不断地审查每个供应商,这些审查的频率和程度应基于与所提供服务有关的风险,这些评估是针对服务提供商而设计的,但是这些概念也可以适用于关键技术产品提供商,对于CIO来说,主要的事情是了解与供应商合作的潜在风险,并了解每个供应商如何管理其业务风险,这样CIO将能够更好地预测外包风险对组织的影响,服务提供商评估可以分配给组织内的各种职能,包括IT,风险管理或内部审计,评估也可以由合格的第三方执行。
CIO或等效的IT负责人有责任审查从评估中收集的信息
并确定与提议的技术服务提供商的接触是否符合组织的目标和风险承受水平,今天进行的全面评估将有助于避免将来遇到更大的问题。