了解 potential 佮目前廠商的資安情形佮風險概況。

1. Vendor Assessment

一般的方法：

• penetration testing
  模仿一个網路攻擊來檢查廠商系統佮資料安全的方法。會使 tī 無仝程度的 informational awareness 下進行：

  • Unknown environment
    a black box，無提供任何公司的資訊，模仿真實世界攻擊者的方法。
  • Partially known environment
    a gray box，有限的公司內部資料。
  • Known environment
    a white box，知道詳細的系統和應用程式的資訊。
  • Bug bounty

• Right-to-audit clause
  合約內底增加一條審查廠商資安。

• Evidence of internal audits
  要求提供廠商定期審查內部資安控管的證明。

• Independent assessments
  利用獨立外部資安公司對廠商的資安情形的審查報告。

• Supply chain analysis
  檢查廠商的 subcontractors 抑是供應商帶來的風險。

2. Vendor Selection

考慮下列：

• Due diligence
  Ùi 各方面對廠商做詳細的調查。
• Conflicts of interest
  評估 decision-makers 佮廠商敢有 existing relationships 抑是 affiliations。

3. Agreement Types

• Service-Level Agreemant(SLA)
• Memorandum of Agreement(MOA)
• Memorandum of Understanding(MOU)
• Master Service Agreement(MSA)
• Work Order(WO)/Statement of Work(SOW)
• Non-Disclosure Agreement(NDA)
• Business Partnership Agreement(BPA)

4. Vendor Monitoring

5. Questionnaires

6. Rules of Engagement

• Clarity and alignment
• Conflict prevention
• Efficiency
• Risk mitigation