コンテンツ
バージニア州は、想像力を刺激する科学的なトピックについて研究し、書くことが大好きです。
サードパーティベンダー、特に情報関連サービスを実行しているベンダーは、サイバー攻撃に対する企業の防御システムの最も弱い点であることがよくあります。徹底的な身元調査なしに第三者と契約することはお勧めできません。この記事では、身元調査を実施し、リスクを軽減する契約を交渉する方法についてアドバイスを提供します。
評価
サードパーティベンダーを選択するときは、多くのセキュリティ問題を考慮する必要があります。身元調査の徹底度は、ベンダーが会社に提供するサービスによって異なります。サードパーティが機密情報にアクセスできる場合は、特に細心の注意を払ってください。考慮したいいくつかの側面があります:
- 監査およびその他の財務記録
- 経験と能力
- ビジネスの評判
- 事業運営の範囲
- 会社のプリンシパルの資格と専門知識
- 戦略と目標
- 苦情または訴訟の存在
- 他の当事者または請負業者の使用
- 内部統制の範囲
- システムとデータのセキュリティ
- 消費者保護および公民権法に関する知識
- 情報システムの管理の適切性
- 保険の適用範囲
- ウェブサイト
- ベンダーの責任の範囲
- ベンダーが拠点を置く国
調査中に、ベンダーに関する次の問題に対処します。
- 情報へのアクセスに関して企業がどのようにリスクをもたらす可能性があるか
- 身元調査フォームを要求する
- ベンダーがあなたの会社で実行しようとしているサービスに関連する参照を求めます
- 違反の履歴を確認してください。もしあれば、誰が責任を負っていましたか?
- 違反が発生した場合、ベンダーはどのような教訓を学びましたか?
- 従業員は再調査されたことがありますか?
ベンダーがすべての詳細を開示していない場合に備えて、自分で事実を確認することを忘れないでください。規制に準拠していることを確認するためのドキュメントを要求します。
残念ながら、身元調査には費用と時間がかかります。さらに、あなたがそれらを強く押しすぎると、ベンダーはただ去ってしまうかもしれません。すべてのサードパーティベンダーが同じレベルの審査を必要としているわけではないことを忘れないでください。それはすべて、アクセスできる情報の種類によって異なります。適切な審査の不便さにもかかわらず、それはあなたの会社のセキュリティにとって非常に重要です。詐欺的または存在しない第三者と契約することにならないようにします。コストとセキュリティの考慮事項のバランスを取ることを目指します。
リスクが強化されたサービスレベル契約
リスクが強化されたサービスレベル契約により、サードパーティベンダーとの契約に関してより高いレベルのセキュリティが提供されます。契約に何を含めるべきかについて、いくつかの提案があります。
- 情報セキュリティー。 ベンダーが、技術的、物理的、および管理上のセキュリティを考慮に入れた情報セキュリティの重要性を理解していることを確認してください。ベンダーの内部情報セキュリティポリシーに関する定期的な書面によるレポートを要求することをお勧めします。
- 情報のプライバシー。 情報のプライバシーは、規制された情報がどのように、誰によって使用されるかに関係しています。一般的に受け入れられているプライバシー原則(GAPP)は、この点を発展させるための基本的なガイドラインを提供する場合があります。規制される情報には、医学的または健康状態に関する情報、財務情報、人種的または民族的出身、政治的意見、宗教的または哲学的信念、労働組合への加入、性的嗜好、刑事上の有罪判決の違反に関連する情報が含まれます。 GAPPはまた、知的財産や企業秘密などの規制されていないデータの機密を保持する必要があることも規定しています。ベンダーがあなたの情報プライバシーポリシーを理解し、それらに従う義務があることを確認してください。
- 脅威とリスクの分析。 ベンダーにリスク評価を実行するように義務付けます。これには、従業員の厳密な審査が含まれ、セキュリティ違反の履歴を調査する必要があります。ベンダーは、報告された違反と報告されていない違反を会社に開示する必要があります。
- 規制および業界のコンプライアンス。 規制への準拠は、ベンダーが満たすべき最低レベルのセキュリティです。
- 内部監査。 ベンダーの監査への可能な限り多くのアクセスを交渉します。
- 外国の腐敗行為の管理。 ベンダーが拠点を置く国の汚職のレベルを測定します。ベンダーが腐敗防止プログラムを実施していることを確認し、その有効性を評価します。腐敗は評判の低下につながる可能性があります。
- 執行。 ベンダーが両当事者によって合意された条件のいずれかを遵守しなかった場合、イベントに比例した結果が続くはずです。重大なセキュリティ違反は、契約を終了する権利をあなたに与えるはずです。
ソース
Ulsch、N MacDonnell、「サイバー脅威!増大するサイバー攻撃のリスクを管理する方法」、Wiley、2014年
この記事は正確であり、著者の知る限り真実です。コンテンツは情報提供または娯楽目的のみであり、ビジネス、財務、法律、または技術的な問題に関する個人的な助言または専門的なアドバイスに代わるものではありません。