审核员在A公司审核时发现，该公司的服务器由A公司提供，且包含维保服务。公司主管介绍对A公司的服务进行了跟踪和评价，并提供记录。如果你是审核员，你如何审核对供方的安全管理？

使用微信搜索喵呜刷题，轻松应对考试！

答案：

作为审核员，除了了解服务进行了跟踪和评价，还应核查组织对供方的安全管理过程，至少包括以下几方面： 1）组织是否制定有相关的供方管理程度文件。 2）查组织是否形成了合格供方名单，名单中是否记录了供方类型，例如：IT服务，物流、金融服务IT基础设施组件等类别。 3）查供方对组织的信息访问都有哪些类型和内容，并到组织的该信息处理设施处进行核查其权限分配，且继续核查组织是否定期对供方商的访问权限进行评审。 4）查组织与供方的合同协议，内容中是否有信息安全相关的要求内容，内容应有数据保护、知识产权和版权，以及对如何确保满足这些要求的描述。是否在协议中明示了哪些信息处理设施和信息可以访问。抽取3-5份与供方的《供方维保合同》： 5）查供方在协助组织完成部分工作或产品之前是有相应的保密承诺，抽取3-5份与供方的《保密协议》： 6）在供方协助组织完成部分工作或产品过程中，组织是否对供方过程进行了相应的监视和定期评审，抽取3-5份评审表。 7）查供方在运行过程中是否发生过服务变更的情况，组织是如何对变更进行管理的：与组织相关负贵人了解运行过程中变更的控制情况，若有记录，进行抽取3-5份。 8）查供方在运维过程中，是否发生过信息安全事件及重大信息安全事件，对事件是如何处理的？查事件的后果及影响程度，组织是否对事件进行了处置。 9）若供方提供的服务发生变更后，是否对供方的访问权限等内容进行了重新评审。 10）若供方提供的服务发生变更后，是否实施了风险评估，查风险评估过程文档。 11）是否对A公司运维人员进行了信息安全方面的培训或告知，抽3-5份告知书或培训记录： 12）供方提供运维服务中是否明确了运维人员的姓名和电话及信息安全风险责任人，当发生信息安全事件时，谁承担其责任。

解析：

【喵呜刷题小喵解析】：在审核对供方的安全管理时，审核员需要全面、系统地核查组织对供方的安全管理过程。这包括但不限于供方的管理文件、供方名单、信息访问权限、合同协议、保密承诺、服务变更管理、信息安全事件处理、服务变更后的重新评审、风险评估、信息安全培训以及运维人员的责任明确等方面。通过核查这些方面，审核员可以全面了解组织对供方的安全管理情况，确保其符合相关标准和要求。同时，抽取3-5份相关文档或记录进行核查，可以增加审核的准确性和可信度。

审核员在A公司审核时发现，该公司的服务器由A公司提供，且包含维保服务。公司主管介绍对A公司的服务进行了跟踪和评价，并提供记录。如果你是审核员，你如何审核对供方的安全管理？

答案：

解析：

最热门资讯

JAVA工程师面试指导--猎头内部资料

常见面试问题100问！