第三方和样品合同语言的前8名关键条款

确定第三方风险& critical vendor

今天的大多数组织正在进行评估,并在尝试管理第三方风险时看待第三方评级计划。但是,在没有执行任何内容的情况下评估和查看第三方评级,几乎无法提高风险 - 它只在风险可能的地方揭示。在您确定了第三方的风险后,下一个工作是通过直接与您的关键供应商工作通过谈判减少风险。

这是供应商由于在可能已经谈判的合同中缺乏特异性而完全拒绝改进请求的地方。这是CISO或供应商风险经理必须与法律官员和网络团队密切合作,以制定执行卖方遵守网络安全要求的特定条款。以下是一些可以帮助您加快此过程的最常见条款。以下语言只是样本语言,您应该考虑直接与律师一起工作,以根据您的特定需求定制条款。

 

第1条:审计权

 将保持准确和完整的会计记录。在不少于十天的书面通知和每份财政年度不超过一次,可以审核或使用一个信誉良好的会计师事务所审核本协议下的履约的记录。

根据此权限审计和未在其他地方讨论的权力下进行的任何审核的费用将由  除非满足某些豁免标准。如果审计发现与不适当的会计,非绩效,虚假陈述或欺诈相关的实质性调查结果,可能会收回审计工作的费用。任何此类审计或检验必须缴纳的任何调整和/或支付,应在合理的时间内(不超过60天),从介绍该调查结果。

第2条:不拒绝

供应商应提供一个系统,该系统提供了提供原始身份验证,数据完整性和签名者不可否认的系统。

第3条:数据管辖权

供应商应识别所有数据中心,以静止数据或数据备份将驻留。所有数据中心都将保证驻留在内。供应商应提供广域网(WAN),其中[#]不同地理位置的最少[#]数据中心设施,每个价格为每次价格提供至少[#] Internet Exchange Point(IXP)。供应商应在[#] GB的最小值中提供Internet带宽。

第4条:独立源代码审查

供应商应通过专门从事申请安全的独立组织,以二进制格式(即编译或字节代码)审核其软件。

第5条:数据访问

本协议的期限可以查看,审查或以其他方式分析存储,输入或以其他方式通过申请进行维护,系统管理,技术支持以及在本协议下执行所需的任何其他目的而输入或以其他方式收集的数据遵守本协议第6.2条规定的法律法规。

第6条:Data Breach条款

如果承包商意识到,如果没有适当的授权,并且与本协议或合同的条款相反,则可以获得,披露或获得数据,但承包商应在两个工作日内使用合理的努力警告任何数据泄露。应立即采取这些行动,以保护法医证据,并消除数据泄露的原因。承包商应当最优先考虑立即纠正任何数据泄露,并致力于实现该目标所需的资源。承包商应提供所需的大学信息,使大学能够充分了解数据泄露的性质和范围。

第7条:没有偷偷摸摸的代码

承包商保证,据我们所知,该系统不含任何代码或机制,不包含任何收集个人信息或宣称没有公司同意的系统控制,或者可能会限制公司访问或使用公司数据的访问。承包商进一步保证,它不会通过任何手段,间谍软件,广告软件,赎金软件,rootkit,键盘,病毒,木马,蠕虫或其他代码或机制来了解,旨在允许未经授权访问公司数据,或者可能限制大学进入或使用公司数据。

第8条:数据保护

承包商只能使用,存储,披露或访问数据:

  1. 根据,只有在范围内提供给公司服务;和
  2. 完全遵守任何和所有适用的法律和法规

承包商应当合理地实施控制,以防止未经授权的使用,披露,损失,收购或获取公司数据的必要条件。这包括,但不限于人员安全措施,如背景检查。

承包商的所有公司数据传输应使用安全转移方法进行

***

希望,上面给你一些关于你的第三方的见解以及创造一些关键的条款。