SR-06 - Évaluations et examens des fournisseurs (PaFF)
Énoncés :
Évaluer et examiner les risques liés à la chaîne d’approvisionnement associés aux fournisseurs, aux entrepreneures ou aux entrepreneurs ainsi que le système, le composant de système ou le service fourni par ces derniers [Affectation : fréquence définie par l’organisation].
Paramètres :Une évaluation et un examen du risque associé aux fournisseurs incluent les processus de GRCA et des risques liés à la sécurité; la propriété, le contrôle et l’influence de l’étranger (PCIE) et la capacité des fournisseurs à évaluer efficacement les fournisseurs, les entrepreneuses et les entrepreneurs subalternes de deuxième ou troisième niveau. Les examens peuvent être effectués par l’organisation ou une tierce partie indépendante. Les examens devraient considérer les processus et les contrôles documentés, le renseignement provenant de toute source et l’information accessible au public concernant le fournisseur, l’entrepreneuse ou l’entrepreneur. Les organisations peuvent utiliser de l’information de source ouverte pour surveiller les signes d’information volée, d’un mauvais développement, de mauvaises pratiques de contrôle de la qualité, d’une fuite de renseignements ou d’une contrefaçon. Dans certains cas, il pourrait être approprié ou nécessaire de partager les résultats des évaluations et des examens avec d’autres organisations conformément aux règles et aux politiques applicables, ou aux accords et contrats interorganisationnels.