对外部供应商的依赖是任何现代组织的结构性现实。云服务、外包软件开发、关键流程外包、托管安全提供商:数字供应链如此广泛,在许多情况下,最薄弱的供应商决定了整个组织的风险水平。
什么是第二方审计
第二方审计是由客户(或客户委托的评估师)对其供应商进行的审计。与第三方审计不同,第二方审计服务于签约组织的具体利益。ISO 19011:2018直接适用于此类评估。
如何确定审计哪些供应商
按关键性分类供应商:访问敏感数据、执行关键流程、直接访问系统或代表组织行事。
评估内容
关键供应商审计应涵盖五个维度:治理与政策、访问控制与数据隔离、事件管理、服务连续性以及合规可追溯性。综合风险管理从了解谁有权访问什么开始。
记录与跟进
每个发现必须可操作,包含审计标准、证据、分类和要求的行动与期限。要构建供应商审计计划,请从ISO 27001安全控制评估和ISO 9001质量体系成熟度评估开始。