【实用贴】供应商安全风险评估框架+个人信息委托处理风险评估框架

安小圈

第574期

信息安全风险评估，无论根据《网络安全法》还是《数据安全法》都是基本合规义务。任何公司引入第三方供应商技术服务，都必须根据实际情况执行关于信息安全的供应商风险审查，以确保第三方供应商符合公司自身的安全标准，并且不会对公司的数据和系统构成风险。如果涉及委托个人信息处理，则需要按照《个人信息保护法》展开个人信息保护影响评估。本文提供基本操作指南和框架。

通过遵循这些步骤，公司可以系统地评估和管理与供应商相关的信息安全风险，确保供应商与组织的安全标准和法规要求保持一致。

如果涉及委托供应商处理个人信息、向供应商提供个人信息，则需要在安全风险评估的同时，展开个人信息保护影响评估。下面是基本的指南供参考:

以上两个风险评估过程可以根据实际业务情况结合进行。

信息安全风险控制主要侧重于保证保密性、完整性和可用性，防止漏洞或泄漏事故导致未经授权访问数据。为了实现这一目标，供应商应该使用工具和技术，如防火墙、用户身份验证、网络访问限制和内部安全措施来阻止此类访问。

个人信息保护风险评估是确保供应商合规地收集、存储、传输和处理个人信息，供应商负责任的处理个人信息，需要确保信息安全措施到位。从这一点来说信息安全是保证个人信息安全的重要组成部分。合规风险控制流程也密不可分。

END

【原文来源： 数据合规与治理】