NICE要求所有供應商在向公司提供產品或服務之前,必須經過供應商評估和審視程序。 在程序開始時,為每個供應商建立一個檔案資料。 資訊安全或供應商內部稽核審視。 審視的嚴格程度取決於供應商的類型。 關鍵供應商在接受一年後會接受其他審視。 審視完成後,供應商的檔案一般包含以下內容:
-
供應商安全調查問卷 (VSQ)。 在開始合作和定期審查時需要完成 VSQ。
-
糾正行動計劃 (CAP)。 CAP 是基於對供應商風險等級的評估。
-
NICE 供應商安全附件(補充條款)。 該補充條款根據供應商的風險等級制定。
-
供應商提交的其他文件,如:
檔案反映了初始供應商安全審視和供應商周年審視文件。
NICE為執行這一審視流程保留了一個記錄的流程圖。