随着企业规模的扩大并越来越依赖外部供应商，建立有效的供应商管理体系变得至关重要。供应商管理是影响组织运营成功、效率、声誉和风险敞口的一项至关重要的职能。内部审计部门可以通过识别和评估风险、采取尽职调查行动、定期监测供应商绩效、确保合规性和促进持续改进来促进有效的供应商管理计划。至少，应通过尽职调查对关键供应商进行监控和审查，包括询问最近发生的任何安全事件。通过实施功能完备的供应商管理计划，内部审计师通过防范潜在风险和改善供应商关系，为组织的整体成功做出贡献。

以2013年Target数据泄露事件为例，对这一历史上最为臭名昭著的数据泄露事件之一的调查结果显示，Target“没有采取任何控制措施限制其供应商访问任何系统，包括商店内的设备，如销售点（POS）收银台和服务器。”这意味着，有问题的通风和空调（HVAC）供应商不受控制地进入Target每家商店的每个收银台。Target的网络凭据最终被恶意行为者泄露和窃取。如果能够回到过去，Target公司的领导层对其供应商管理计划的有效性进行内部审计，这些风险因素本可以更早地暴露出来，并且采取控制措施，以降低因使用授权供应商而引发安全事件的风险。

对供应商绩效的持续评估和监控对于确保服务质量、遵守合同要求和遵守法规至关重要。网络安全和GRC团队应以关键绩效指标（KPI）的形式建立绩效指标。KPI提供了一种清晰、客观、高效的方式来持续监控供应商并确定评估频率，从而确保最佳的供应商绩效和风险管理。

通常根据企业供应商风险评估对风险较高的供应商进行定期供应商评估。评估通过以下尽职调查措施确认组织是否保持了预期的安全控制：

• 在供应商协议中包含审计权条款，保留组织对供应商内部系统和控制状态进行审查的权利

• 审查独立鉴证报告（例如：系统和组织控制SOC 1或SOC 2）

• 网络安全标准的合规性证明，如支付卡行业数据安全标准（PCI-DSS）和国际标准化组织（ISO）标准ISO 27001

• 供应商完成的网络安全问卷

• 由会计师事务所执行的商定程序（AUP）证明

• 其他行业认证（如HITRUST评估）

用于执行尽职调查的其他资源可能包括来自第三方来源的数据和报告的供应商记分卡，或扫描面向公众的互联网供应商域以查找可发现漏洞的工具。

为了降低风险，网络安全和GRC团队应确保在新供应商加入之前进行全面的尽职调查。供应商加入应包括签署合同，以确定供应商安全计划是否符合组织的期望，特别是网络安全和保密方面的期望。对新供应商的有效尽职调查包括评估供应商资质、证书、监管合规性、财务稳定性历史以及评估供应商可用的独立鉴证报告。供应商加入的标准化尽职调查流程允许内部审计部门测试由网络安全或GRC团队评估的供应商安全控制措施。必须考虑各种IT和网络安全风险因素，例如：

• 在供应商提供的IT应用程序托管的情况下（例如，现场、供应商选择的主机代管数据中心、供应商在云中（例如通过SaaS产品）

• 用户如何在系统上进行身份验证和验证密码要求

• 应用程序编程接口（API）配置或其他接口

控制4：合同和协议管理

随着每天不断发现不同的攻击手段，网络安全事件也在不断发展演变。面对日益增长和变化的第三方风险，管理团队关注可控足迹至关重要，这一点至关重要。上述5个示例控制是任何内部审计部门都可以采取的可操作步骤，以通过其供应商管理计划帮助降低风险并提高问责制。