找到合适的供应商已经够复杂的了, 但是,要找到合适的子服务组织,使其具有与您自己的组织一致的适当控制框架就更难了. However, 您可以通过选择一组与您的目标一致的标准控件,使您的组织更容易地完成这个过程. Once selected, 这些控制可以成为您用来评估子服务组织的黄金标准.
子服务组织是其操作控制和运行状况最终也会影响您的操作的供应商. Subservice organizations are often confused with the term vendor; however, 并非所有的供应商都是子服务组织.
组织可以通过多种方式获得其子服务组织控制的保证, 例如要求系统和组织控制(SOC) 2报告或国际标准化组织(ISO)认证. An SOC 2 report is a report and not a certification; therefore, 重要的是要阅读和分析收到的SOC 2报告,并确定是否需要与子服务组织进行任何后续或额外的澄清. However, 这些报告和认证是昂贵的, 并不是每个组织都能负担得起这样的服务.
当SOC 2报告和ISO认证无法实现时, 组织仍然可以通过创建自己的自定义控制问卷来请求某种程度的保证,并让其子服务组织完成并验证其准确性.
In addition, 了解最小控制的基准以及如何推导它是很重要的. For instance, a risk assessment is the parent of the minimum controls framework; however, 并不是每个组织都执行过. 当组织没有进行风险评估时, 它仍然应该考虑对其操作及其子服务操作的基本控制,以保护其客户机.
What are these controls? 一些必要的控制是物理和逻辑安全, access controls, 带上自己的设备策略, 改变管理方针, 网络评估和漏洞扫描, workforce-related控制, hiring policies, acceptable use policies, 信息共享政策, cyberawareness training, audit policies, 业务连续性和灾难恢复计划, backup policies, 事件响应协议, 系统可用性标准和数据丢失预防策略.
Editor’s note: 想要进一步了解这个话题,请阅读Alina Archibald和Josh Ditto最近在《澳门赌场官方下载》上发表的文章, “子服务组织管理——it控制让你安心” ISACA Journal, volume 4, 2023.
