Chương 27 - Hợp Đồng Cấp Phép Và Bảo Trì Phần Mềm

27.5.7 Quyền kiểm toán nhà cung cấp

Hầu hết các nhà cung cấp phần mềm sẽ muốn đưa vào điều khoản cho phép tiến hành kiểm toán tuân thủ. Mặc dù hợp đồng có thể chỉ rõ quyền kiểm toán của nhà cung cấp, nhưng cơ quan nên thương lượng để kiểm soát quy trình chặt chẽ hơn. Cán bộ an ninh thông tin của cơ quan phải đưa vào bất kỳ hạn chế hoặc thông số nào về an ninh, tính bảo mật và quyền truy cập của cơ quan hoặc Khối thịnh vượng chung cho bất kỳ cuộc kiểm toán nào như vậy. Các chính sách, tiêu chuẩn và hướng dẫn (PSG) của COV ITRM về việc tuân thủ các yêu cầu và hạn chế kiểm toán bảo mật có sẵn tại địa chỉ này: https://www.vita.virginia.gov/it-governance/itrm-policies-standards/. Ngôn ngữ hợp đồng chung được đề xuất có thể bao gồm và được tùy chỉnh cho cơ quan và phù hợp với bất kỳ hạn chế kiểm toán bảo mật nào và bất kỳ cuộc đàm phán nào với nhà cung cấp:

"Nhà cung cấp phải thông báo bằng văn bản trước bốn mươi lăm (45) ngày cho (tên cơ quan của bạn) trước khi lên lịch kiểm tra giấy phép phần mềm. Thông báo phải nêu rõ tên của cá nhân sẽ tiến hành kiểm toán, thời hạn kiểm toán và cách thức tiến hành kiểm toán. Ngoài ra, Nhà cung cấp và các đại diện, tác nhân và nhà thầu phụ của Nhà cung cấp phải tuân thủ mọi yêu cầu và hạn chế về quyền truy cập, bảo mật và bí mật của (tên cơ quan của bạn). Sẽ không áp dụng bất kỳ hình phạt nào đối với (tên cơ quan của bạn) hoặc Khối thịnh vượng chung đối với phần mềm không có giấy phép được phát hiện trong quá trình kiểm toán. Nếu (tên cơ quan của bạn) được xác định là sử dụng phần mềm không có giấy phép, thì trách nhiệm pháp lý tối đa đối với (tên cơ quan của bạn) sẽ là chi phí cấp phép cho phần mềm đó. Mọi chi phí liên quan đến việc kiểm toán sẽ do Nhà cung cấp chịu."