强化供应链安全：5个审计控制措施优化供应商管理计划

随着企业规模的扩大并越来越依赖外部供应商，建立有效的供应商管理体系变得至关重要。供应商管理是影响组织运营成功、效率、声誉和风险敞口的一项至关重要的职能。内部审计部门可以通过识别和评估风险、采取尽职调查行动、定期监测供应商绩效、确保合规性和促进持续改进来促进有效的供应商管理计划。至少，应通过尽职调查对关键供应商进行监控和审查，包括询问最近发生的任何安全事件。通过实施功能完备的供应商管理计划，内部审计师通过防范潜在风险和改善供应商关系，为组织的整体成功做出贡献。

以2013年Target数据泄露事件为例，对这一历史上最为臭名昭著的数据泄露事件之一的调查结果显示，Target“没有采取任何控制措施限制其供应商访问任何系统，包括商店内的设备，如销售点（POS）收银台和服务器。”这意味着，有问题的通风和空调（HVAC）供应商不受控制地进入Target每家商店的每个收银台。Target的网络凭据最终被恶意行为者泄露和窃取。如果能够回到过去，Target公司的领导层对其供应商管理计划的有效性进行内部审计，这些风险因素本可以更早地暴露出来，并且采取控制措施，以降低因使用授权供应商而引发安全事件的风险。

作为供应商管理计划的一部分，组织应实施几个关键控制措施。对这些控制措施进行内部审计有助于降低风险，提高其功效报告的质量。

控制1：企业供应商风险评估

企业供应商风险评估需要网络安全和治理、风险与合规（GRC）团队与业务部门密切合作，以识别和评估与供应商关系相关的潜在风险。在企业供应商风险评估期间，应考虑诸如财务、法务、人力资源（HR）、运营、IT、网络安全和供应商所有者在内的所有关键业务部门。有效的供应商风险评估应基于供应商对组织的重要性对其进行分类，并确定谁被视为关键或高风险供应商。企业供应商风险评估应每年至少进行一次，作为制定有效供应商管理计划的基于风险的方法的基础。供应商风险评估完成后，内部审计部门可以使用可交付成果来验证评估是否通过风险排序方法确定了关键供应商，该方法包括详尽的供应商尽职调查。

控制2：通过评估监控供应商绩效

对供应商绩效的持续评估和监控对于确保服务质量、遵守合同要求和遵守法规至关重要。网络安全和GRC团队应以关键绩效指标（KPI）的形式建立绩效指标。KPI提供了一种清晰、客观、高效的方式来持续监控供应商并确定评估频率，从而确保最佳的供应商绩效和风险管理。

通常根据企业供应商风险评估对风险较高的供应商进行定期供应商评估。评估通过以下尽职调查措施确认组织是否保持了预期的安全控制：

• 在供应商协议中包含审计权条款，保留组织对供应商内部系统和控制状态进行审查的权利

• 审查独立鉴证报告（例如：系统和组织控制[SOC]1或SOC 2）

• 网络安全标准的合规性证明，如支付卡行业数据安全标准（PCI-DSS）和国际标准化组织（ISO）标准ISO 27001

• 供应商完成的网络安全问卷

• 由会计师事务所执行的商定程序（AUP）证明

• 其他行业认证（如HITRUST评估）

用于执行尽职调查的其他资源可能包括来自第三方来源的数据和报告的供应商记分卡，或扫描面向公众的互联网供应商域以查找可发现漏洞的工具。

管理层应进行定期评估，以根据既定的安全基准衡量供应商的绩效，确定任何偏差或例外情况，并在必要时进行纠正性补救。作为对关键供应商定期监测的一部分，内部审计部门可以获得供应商评估结果，并确定管理层是否对供应商进行了充分评估。管理层应仔细评估和审查现有的独立保证报告，以确定报告部分是否记录了重大例外情况或调查结果。内部审计可以测试独立鉴证或证明的结果是否转化为KPI，KPI确定了关键供应商安全控制的当前风险水平，以及供应商关系是否使组织面临高网络安全风险。

控制3：对新供应商进行尽职调查

为了降低风险，网络安全和GRC团队应确保在新供应商加入之前进行全面的尽职调查。供应商加入应包括签署合同，以确定供应商安全计划是否符合组织的期望，特别是网络安全和保密方面的期望。对新供应商的有效尽职调查包括评估供应商资质、证书、监管合规性、财务稳定性历史以及评估供应商可用的独立鉴证报告。供应商加入的标准化尽职调查流程允许内部审计部门测试由网络安全或GRC团队评估的供应商安全控制措施。必须考虑各种IT和网络安全风险因素，例如：

• 在供应商提供的IT应用程序托管的情况下（例如，现场、供应商选择的主机代管数据中心、供应商在云中（例如通过SaaS产品）

• 用户如何在系统上进行身份验证和验证密码要求

• 应用程序编程接口（API）配置或其他接口

控制4：合同和协议管理

网络安全和GRC团队应审查供应商合同、工作说明书或其他协议，以确定其是否包含适用服务承诺、系统要求、数据安全、保密性、终止权和争议解决机制的条款。对供应商合同的定期审计有助于确定供应商在履行服务承诺方面的差距、不合规问题或失败，从而及时采取纠正措施。内部审计可以与内部法律顾问、网络安全或GRC团队合作，测试协议和合同是否解决了涉及与供应商提供的服务性质相关的网络安全风险。

控制5：持续改进

供应商管理应不断改进，以适应不断变化的业务需求和新出现的网络安全风险。通常，网络安全委员会或类似小组会按照商定的时间表召开会议，报告正在进行的供应商管理计划的有效性，特别是在企业供应商风险评估中对已确定的关键供应商的监控。内部审计部门可以对供应商管理计划的有效性进行定期审查和评估，并考虑每年审查管理该计划的供应商管理政策。通过进行实施后审查，内部审计师可以通过监测供应商KPI评估控制措施的有效性、确定需要改进的领域并提出建议来加强整体供应商管理计划。

结论

随着每天不断发现不同的攻击手段，网络安全事件也在不断发展演变。面对日益增长和变化的第三方风险，管理团队关注可控足迹至关重要，这一点至关重要。上述5个示例控制是任何内部审计部门都可以采取的可操作步骤，以通过其供应商管理计划帮助降低风险并提高问责制。

编者按：本文于2024年1月23日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。

作者：Jordan Kassing

来源：ISACA

编辑：孙哲

目前160000+人已关注我们，您还等什么？