說到信息安全，與供應商簽約往往是繞不開的一個話題，而且整個關注焦點往往在 “拿出你的審計報告和安全策略” 上。別誤會，這些信息無疑是供應商安全狀況評估中的重點。但問題在于，如果供應商無法遵守、遭遇數據泄露、不當處理其系統和數據……那這些報告和策略中的內容就毫無價值。

[[280051]]

供應商簽約中容易出現四個重大失誤。除非避開這些失誤，否則就算具備業內最佳安全文檔，供應商也會給客戶帶來重大風險。下面列出的這幾個問題代表了數百交易中學到的經驗教訓。另外，它們也是監管機構常會在供應商合同中找出的問題點。因此，商討供應商協議時，別淪為這些失誤的受害者。

失誤 1：未做盡職調查

第一個失誤涉及連基本的供應商盡職調查都沒做。在進入具體合同談判階段之前，應對每一個供應商做好事前盡職調查。很明顯，盡職調查的范圍和深度與雙方合作的規模和重要性成正比。

很多公司在執行供應商盡職調查時采用廣泛問卷調查的方式。雖說這肯定是盡職調查中的關鍵元素，但問卷調查表僅能反映部分情況，且供應商往往會夸大其詞，甚至在反饋中提供錯誤信息。作為補充，公司企業應約見供應商及其當前和過去的一些客戶。避免只聯系供應商官方推薦列表中的那些客戶。有時候，問兩到三家未選擇與該供應商續約的客戶比較合適。如果是大規模合作，或許還應對相關供應商進行廣泛的互聯網搜索與訴訟檢索(包括監管相關動作)。

失誤 2：未規定供應商責任

接下來的關鍵失誤是責任問題。此乃老生常談，但仍值得再次做個總結。每個供應商協議都會包含 “責任限定”，確定供應商在協議限定下應承擔多少責任。也就是說，如果供應商違反協議(比如導致數據泄露或其他安全事件)，此責任限定條款決定了你能從供應商身上彌補回來的損失數額。雖然或許有點令人意外，但無數現實案例中供應商甚至連重大惡性行為都無需擔責或不承擔實質性責任。因此，審核供應商協議時最先該看的就是此責任限定條款。千萬別在供應商未能履行其安全職責時，陷入空有漂亮安全用語，卻無力挽回任何重大損失的窘境。

失誤 3：未防服務降級

該失誤常被忽略。在建立合作關系的盡職調查階段，客戶將獲知有關供應商安全操作的信息，依賴該信息決定要不要簽約。但合同往往會賦予供應商隨意改變這些操作的權力，都不用通知客戶，客戶也無力反對。也就是說，引你走至簽約步驟的那些安全信息，將來未必是有效的。這些優秀的安全操作甚至有可能部分或全部被拋棄。

大多數供應商都不會愿意將自己的安全操作永遠保持在簽約當時給出的那個版本上的。而且這還可能有悖于客戶的最佳利益。畢竟，新型風險和漏洞層出不窮?？蛻粢蚕Ｍ棠懿粩喔缕浒踩僮饕詰獙@些新問題。那么，如何解決這一問題?最簡單的方法就是在合同中包含防止供應商顯著降低其整體安全方法的條款。供應商可以改善其安全操作，但不能 “往回走”。

失誤 4：忘了監管機構

直面現實吧，世界變了!越來越多的監管機構涉及信息安全和隱私，尤其是在醫療、金融服務和消費服務及產品領域。有些監管機構有權直接評估公司的第三方供應商關系，確定其是否會帶來實質性風險，如果會，就要求緩解該風險。

如果你簽了五年合約，卻有監管機構發現該協議需做修改才符合客戶的監管責任(比如醫療提供商未能談妥供應商應負的那部分隱私或安全責任;銀行未對供應商的轉包行為作出恰當控制)，會發生什么情況?正確做法是在合同中包含承認監管機構有權審查此合作關系的條款，如果發現問題，各方需抱持善意共同解決。若各方無法就此問題達成一致，或解決方案不能令監管機構滿意，客戶應享有不支付賠償即終止合約的權力。這一關鍵保護措施在當前監管環境中變得越來越重要了。

雖然以上四個問題可能顯而易見，但仍有很多供應商合約并未將之納入考慮。前事不忘后事之師，這些數百個現實案例中總結出來的經驗教訓值得一學。簽訂供應商協議時一定充分考慮并避免留下這些失誤。

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文