外包风险和承包商控制

1）为什么外包=风险增加

外包加快了启动速度并降低了成本，但扩大了风险范围：外部团队及其分包商可以访问您的流程、数据和客户。风险管理是合同，组织和技术措施的组合，具有可衡量性和可审计性。

2）风险图（类型学）

法律：缺乏适当的许可证，合同担保薄弱，IP/版权，管辖冲突。
法规/合规性：GDPR/AML/PCI DSS/SOC 2等不一致；没有DPA/SCC；违反报告时间表。
信息安全：泄漏/泄漏，访问管理薄弱，缺乏日志和加密。
隐私：PI处理过多,背叛/删除违规,无视Legal Hold和DSAR。
运营：服务可持续性低，BCP/DR薄弱，24 × 7缺乏，SLO/SLA违规。
财务：供应商不稳定，依赖单一客户/地区，隐性退出成本。
声誉：事件/丑闻，利益冲突，有毒营销。
供应链：不透明的子处理器,不受控制的存储位置。

3）角色和责任（RACI）

(R — Responsible;A — Accountable;C — Consulted;I — Informed)

4）承包商控制生命周期

1.计划：外包目标，关键性，数据类别，司法管辖区，替代品评估（build/buy/partner）。
2.尽职调查：问卷，文物（证书，政策），技术清单/RoS，风险评分和漏洞清单。
3.合同：DPA/SLA/审计权，责任和罚款，子处理器，退出计划（退出）和数据删除时间表。
4.盘点：SSO和角色（最小特权），数据目录，环境隔离，日志和Alerta。
5.操作和监控：KPI/SLA，事件，子处理器/位置更改，年度修订和证据控制。
6.修订/重新调整：修改截止日期和截止日期的Waiver程序。
7.Offbording：可用性撤销、导出、删除/匿名、销毁确认、事件归档。

5）合同"必须拥有"

DPA（合同附件）：角色（控制器/处理器），处理目标，数据类别，撤回/删除，法律保留，DSAR帮助，存储和传输位置（SCC/BCR）。
SLA/SLO：可用性水平，反应/消除时间（sev-level），违规信用/罚款，RTO/RPO，24 × 7/Follow-the-sun。
Security Annex：在rest/in transit中加密,密钥管理（KMS/HSM）,秘密管理,日志（WORM/Object Lock）,五旬节/扫描,漏洞管理。
审核和评估权利：定期问卷，报告提交（SOC 2/ISO/PCI），审计/站点/博客评论的权利。
Subprocessors：清单、通知/更改匹配、链责任。
突破通知：时限（例如，≤24 -72小时），格式，调查互动。
退出/退出：导出格式、截止日期、销毁确认、迁移支持、出口成本概要。
Liability/Indemnity：限制、例外（PI泄漏、监管处罚、IP违规）。
变更控制：对服务/地点/控制进行重大更改的通知。

6）技术和组织控制

访问和身份：SSO，最小特权原则，SoD，重新认证活动，JIT/临时访问，强制性MFA。
隔离和网络：tenant-isolation,分割,私人通道,allow-lists, egress限制。
加密：强制性TLS，介质加密，密钥管理和轮换，禁止自制密码学。
日志和证明：集中式日志、WORM/Object Lock,报告哈希提交,evidence目录。
数据和私有性：掩码/别名化、复古控制/TTL、法律保留权、数据导出控制。
DevSecOps：SAST/DAST/SCA，秘密扫描，SBOM，OSS许可证，CI/CD网关，发行策略（蓝绿色/金丝雀）。
可持续性：DR/BCP测试，RTO/RPO目标，能力规划，SLO监测。
操作：事件剧本、呼叫、ITSM-tickets with SLA, change management。
培训和录取：提供商必修的IB/隐私课程，员工验证（在哪里）。

7）持续监控供应商

表演/SLA：可用性，反应/消除时间，积分。
认证/报告：SOC/ISO/PCI相关性，scope和例外。
事件和更改：频率/严重性、课程、子处理器/位置更改。
控制漂移：偏离合同要求（加密、日志、DR测试）。
财务可持续性：公共信号，并购，受益人的变化。
管辖权和制裁：新的限制，国家/云/数据中心清单。

8）Vendor Risk&Outsourcing的度量标准和dashbords

Dashbords：按提供商划分的风险热图，SLA中心，事件与询问，事件准备，子提供者地图。

9）程序（SOP）

SOP-1： 连接承包商

1.服务风险分类→ 2） DD+PoC → 3）合同应用程序→ 4）提示访问/标志/加密→ 5）起始指标和行车记录。

SOP-2： 承包商的变更管理

1.更改卡（位置/子处理器/体系结构）→ 2）风险评估/律师→ 3）DPA/SLA更新→ 4）通信和实施时间表→ 5）验证事件。

SOP-3： 承包商发生的事件

Detect → Triage （sev） → Notify（临时合同窗口）→ Contain → Eradicate → Recover → Post-mortem（教训、控制/合同更新）→ WORM中的Evidence。

SOP-4： Offbording

1.冷冻集成→ 2）数据导出→ 3）删除/匿名+确认→ 4）召回所有访问/密钥→ 5）结束报告。

10）例外管理（waivers）

正式查询，包括到期日期，风险评估和补偿控制。
GRC/dashbords中的可见性，自动提醒，禁止"永恒"例外。
逾期/危急风险升级为委员会。

11）模式示例

承建商支票清单

• DD已完成；评分/风险类别获得批准
• DPA/SLA/审核权利已签署；安全附录（Security Annex）商定
• 已收到子处理器列表；已确认储存地点
• SSO/MFA定制；角色最小化；SoD已验证
• Logi连接；WORM/Object Lock已配置；Alertes成立
• DR/BCP目标一致；测试日期已确定
• DSAR/法律保留程序集成
• Dashbords和监测指标包括

SLA需求迷你模板

反应时间： Sev1 ≤ 15分钟，Sev2 ≤ 1小时，Sev3 ≤ 4小时

恢复时间： Sev1 ≤ 4小时，Sev2 ≤ 24小时

可用性： ≥ 99。9%/月；违反信用额度

事件通知： ≤ 24小时，中期补偿每4小时（Sev1）

12）反模式

"纸质"控制没有标记，遥测和审计权。
没有退出计划：昂贵/长期导出，依赖专有格式。
承包商永久可用，没有再认证。
忽略子处理器和存储位置。
没有所有者/升级的KPI和红色事实下的"绿色"区域。
缺少WORM/immutability for evidence-审计中的争议。

13）外包管理成熟度模型（M0-M4）

M0零散：一次性检查，"像所有人一样"合同。
M1目录：承包商名册，基本的SLA和问卷。
M2可管理：DD风险，标准DPA/SLA，连接日志和行车记录仪。
M3集成：持续监控、策略即代码、自动测试、常规DR测试。
M4 Assured："按键试用"、预测供应链风险、自动升级和越位场景。

14）相关维基文章

选择提供商时的尽职调查

编译和报告自动化

连续合规性监控（CCM）

法律保留和数据冻结

策略和过程生命周期

KYC/KYB和制裁筛查

连续性计划（BCP）和DRP

底线

外包控制是一个系统而不是支票清单：以风险为导向的选择，严格的合同担保，最小且可观察到的可用性，持续监控，快速离岸和证据基础。在这种系统中，承包商提高了业务速度-不会增加您的脆弱性。