拉丁美洲54%的安全漏洞源于供应链。我们对关键供应商进行第二方审核,评估安全控制、反腐败、连续性和法规合规。
组织依赖处理敏感数据、运营关键基础设施或在受监管市场中充当中介的供应商,但缺乏正式的第三方风险评估流程。合同包含从未验证的通用保密条款。对供应商实施的安全、连续性或反腐败控制缺乏可见性。
关键供应商的事件直接影响组织:客户数据外泄、服务中断、因第三方腐败行为面临制裁(阿根廷27,401号法律)。当没有文件化的尽职调查时,监管机构让组织为供应商行为负责。在没有应急计划的情况下失去供应商可能导致运营瘫痪数周。
我们设计并执行三级供应商尽职调查计划:(1) 低风险供应商的ISO自评问卷,(2) 中风险供应商的远程文件审核,(3) 关键供应商的现场第二方审核。我们根据每个供应商的风险概况,对照ISO 27001(安全)、ISO 37001(反腐败)和ISO 22301(连续性)控制进行评估。交付物包括每个供应商的评分、关键发现和合同建议。
处理组织个人或机密数据的供应商,运营关键技术基础设施(托管、ERP、支付处理)的供应商,在受监管市场中充当中介的供应商,以及其中断将瘫痪业务运营的供应商。我们应用基于影响(运营、监管、声誉)和对组织资产访问级别的关键性矩阵。
我们根据ISO 37001评估供应商的反贿赂控制:反贿赂政策、对其自身第三方的尽职调查、礼品和招待登记、举报渠道和员工培训。在透明国际腐败感知指数中的高风险管辖区,我们实施加强程序,包括最终受益人验证和政治敏感人物筛查。
不。第二方审核从供应商对您组织产生的特定风险角度评估供应商,并非对供应商进行认证。供应商可能持有ISO 27001认证,但如果认证的控制措施未覆盖所签约服务的范围,仍可能对客户构成相关风险。我们的审核验证控制措施在商业关系背景下的实际适用性。