尽职调查是对潜在或现有第三方供应商的相关风险和机会进行评估的过程。尽职调查的范围和深度因供应商给组织带来的风险程度而异。低风险供应商是指那些对组织的运营、声誉或合规性影响极小，且不处理敏感或机密数据或系统的供应商。对于风险较低的供应商，开展尽职调查时可能需要接受服务提供商的自我评估问卷答复，作为其能力、绩效和合规性的充分证据。自我评估问卷是一种工具，允许供应商提供有关其组织、服务、流程、控制和政策的信息。组织可利用问卷核实供应商的身份、资质、推荐信和认证，并评估供应商是否符合组织的标准和期望。接受供应商的自我评估问卷答复作为尽职调查的主要来源，可以为组织节省时间和资源，还可以表明对供应商的信任和信心。不过，组织还应确保问卷的全面性、相关性和更新性，以及供应商答复的准确性、完整性和一致性。
组织还应保留在必要时要求供应商提供补充信息或文件的权利，以及对供应商的表现和合规情况进行定期审查或审计的权利。
其他选项并不是对低风险供应商进行尽职调查的最佳描述，因为它们要么涉及更广泛 或更严格的尽职调查方法，要么与尽职调查没有直接关系。
编写有关第三方风险管理和补救活动状况的报告提交管理层，是监督和管理供应商关系的重要组成部分，但其本身并不是尽职调查活动。审查服务供应商的自我评估问卷和外部审计报告是一种更彻底的尽职调查方式，但对于低风险供应商来说，这可能没有必要或不可行，特别是在外部审计报告不容易获得或不相关的情况下。要求提供服务供应商的外部审计报告并将其存档以备将来参考，是保存尽职调查文件和证据的良好做法，但其本身并不是尽职调查活动。
参考资料
* 第三方风险管理（TPRM） | 共享评估
* 供应商尽职调查战略指南和核对表｜普遍存在的问题
* 供应商尽职调查：实用指南和清单

个人信息是指可直接或间接用于识别个人身份的任何信息，如姓名、地址、电子邮件、电话号码、身份证号码等。个人数据是欧盟等一些司法管辖区使用的术语，指受数据保护法律法规管辖的个人信息。不过，个人数据的范围和定义可能因司法管辖区和背景而异。例如，GDPR 将个人数据定义为 "与已识别或可识别的自然人有关的任何信息"，包括 IP 地址、cookie 或设备 ID 等在线标识符，以及生物识别、遗传、健康或政治数据等特殊类别的数据。另一方面，美国没有单一的联邦法律来规范个人数据，而是由特定行业和州一级的法律拼凑而成，这些法律可能有不同的定义和要求。例如，《加利福尼亚消费者隐私法》（CCPA）将个人信息定义为 "可直接或间接识别、涉及、描述、可合理地与特定消费者或家庭相关联或可合理地与之相关联的信息"，并将可公开获取的信息排除在其范围之外。因此，从隐私的角度来看，重要的是要根据司法管辖区和数据处理活动的背景，了解可能适用于个人信息或个人数据的不同法律定义和义务。参考文献
* GDPR 个人数据--包括哪些信息？
* 个人信息、数据分类、生命周期和最佳实践
* 5 种数据分类（附示例）

访问管理的零信任方法所依据的原则是，无论访问请求的来源、目的地或上下文是什么，都要对每一个访问请求进行验证，就像它来自一个开放的网络一样。这意味着不会根据网络位置、用户身份或设备状态授予隐式信任。相反，每个访问请求都要根据用户凭证、设备健康状况、数据敏感性和威胁情报等多种因素进行评估。零信任方法还要求对所有通信进行加密和保护，并根据最小权限原则123 按会话授予访问权限。
使用允许第三方直接访问组织网络的解决方案并不能体现零信任方法，因为这意味着网络边界是安全和信任的可靠边界。
这种假设是有风险的，因为它会使组织面临来自受损或恶意第三方的潜在漏洞和攻击，这些第三方可能在没有适当验证或保护的情况下访问敏感数据和资源。零信任方法要求第三方使用安全、隔离的渠道访问组织的网络，如 VPN、代理或网关，并根据细粒度的策略和条件对其访问进行监控123。参考文献：
* 零信任第 1 部分：身份和访问管理
* 零信任模式--现代安全架构｜微软安全系统
* 零信任身份和访问管理开发最佳实践...

组织的道德和行为准则计划是一套政策、程序和做法，规定了所有员工和利益相关者的预期行为标准和道德价值观。这种计划的一个关键组成部分是纪律程序，其中概述了违反行为准则或任何其他相关政策的后果和行动。纪律处分程序有助于执行行为准则，阻止不道德行为，保护组织的声誉和诚信。纪律处分程序应包括明确的标准，用于确定违规行为的严重程度和频率、相关各方的角色和责任、调查和解决的步骤和时限，以及可用的制裁和补救措施的范围。纪律处分程序还应公正、一致、透明，并尊重被告和原告的权利和尊严。根据违规行为的性质和影响，纪律处分程序可能涉及正式解雇或改变员工身份。因此，选项 B 是组织道德与行为规范计划的正确组成部分。
其他选项不一定是道德与行为规范计划的组成部分，尽管它们可能与之相关或起到支持作用。选项 A，参与公司的年度隐私意识计划，更有可能是隐私计划的组成部分，而隐私计划是道德与合规的一个特定领域，涉及个人信息的保护和使用。选项 C，签署使用公司资产的 "可接受使用政策 "确认书，更有可能是 "信息安全计划 "的组成部 分。"信息安全计划 "是道德与合规的另一个具体领域，涉及数据和系统的保护与管理。选项 D 是对重要的人力资源文件进行定期访问审查的程序，它更可能是内部控制计划的一个组成部分，而内部控制计划是道德与合规的一个一般领域，涉及控制措施的设计和实施，以确保财务和业务信息的可靠性和准确性。参考资料：
* 1：创建有效的行为守则（和守则计划） - 《企业合规透视
* 2：行为和道德准则（范例和最佳做法） - Status.net
* 3：为什么要制定行为准则 - 免费道德与合规工具包
* 4："道德准则 "和 "行为准则" - GeeksforGeeks
* 5：关于如何实施强有力的道德计划的六项提示 - KnowledgeLeader

在对访问、处理和保留个人数据的云第三方进行范围评估时，最重要的因素是确定云托管部署或服务模式的类型。这是因为不同的云模式对第三方和云托管提供商之间的安全责任分配有不同的影响。例如，在软件即服务（SaaS）模式中，云提供商负责大部分安全控制，而在基础设施即服务（IaaS）模式中，第三方负责确保自身数据和应用程序的安全。因此，在进行评估之前，必须了解云模式的类型以及相应的安全角色和责任。这将有助于避免安全控制和期望方面的差距、重叠或冲突。
参考资料
* 云安全评估和授权指南 - ITSP.50.105，加拿大网络安全中心，2020 年 5 月，第 2.1.1 节
* 正确界定云环境范围的重要性》，PCI 安全标准委员会和云安全联盟，2021 年 8 月
* 第三方和云：监管挑战，毕马威会计师事务所，2022 年，第 2.1 节
* 第三方风险认证专业人员 (CTPRP) 学习指南，共享评估，2021 年，第 4.2.2 节

在确定新的全球第三方关系风险评估流程时，根据客户合同要求进行供应商评估所增加的费用风险是最不重要的因素。这是因为，供应商评估的费用不会对贵组织的安全性、合规性、声誉或绩效造成直接风险，而是一种可以进行预算和优化的业务成本。虽然供应商评估是必要和有益的，但它们并不是风险评估流程的主要驱动力，风险评估流程应重点关注涉及第三方的不利事件或事故的潜在影响和可能性。其他因素（B、C 和 D）更为重要，因为它们会直接影响第三方的风险暴露程度和缓解策略。例如，自然灾害和实体安全风险会扰乱第三方的运营和服务交付，政府监管和政治稳定会影响第三方的合规性和法律义务，财务风险会影响第三方的偿付能力和可靠性。因此，在确定风险评估流程时，应更仔细地考虑这些因素。参考资料
* 1：第三方风险管理：德勤美国
* 2：什么是第三方风险管理（TPRM）？2024 年指南 | UpGuard
* 3：什么是第三方风险管理？| 博客

这一声明并不反映当前应对第四方风险或分包风险的做法，因为仅仅依靠外部审计报告是不够的。外包商还应自行对分包商进行尽职调查和监控，并确保第三方制定了健全的 TPRM 计划。外部审计报告可能无法涵盖分包风险的所有相关方面，如数据安全、合规性、绩效和质量。此外，外部审计报告可能不及时、不准确或不一致，也可能无法反映分包商的运营现状。因此，外包商应采取更主动、更全面的方法来管理分包风险，而不是依赖外部审计报告。参考资料
* 共享评估计划》，第 13 页："外包商不应仅仅依靠外部审计报告来应对分包风险。外包商还应检查供应商的 TPRM 计划，并要求提供对分包商进行评估的证据"。
* 管理和控制第三方风险的五个最佳做法，第 3 页："限制特权账户

A. 确定是否需要政策例外和批准，并要求在合同终止后继续履行数据保护义务。这种方法承认供应商可能有正当理由将某些数据保留一段时间，而且公司在某些情况下可以灵活批准政策例外。不过，这种方法也能确保公司对供应商保留的数据保持监督和控制，并确保供应商继续遵守数据保护义务，如加密、访问控制、审计和违规通知，直到数据被归还或销毁。这种方法平衡了双方的利益和风险，最大限度地降低了数据泄露、滥用或丢失的可能性。
其他方法不是解决冲突的最佳途径，因为它们可能会给任何一方带来更多的问题或风险。B. 更改供应商的风险评级，以反映较高的风险等级。这种方法不能解决冲突，而是将管理供应商保留数据所增加的风险的责任转嫁给公司。更改风险评级还可能影响合同条款，如定价、服务水平协议或责任条款，可能需要重新谈判或终止合同。C. 坚持要求供应商无一例外地遵守政策和合同条款。这种方法过于死板，对供应商来说可能不可行或不合理，尤其是当他们有保留数据的法律义务时。这种做法还可能损害双方的关系和信任，并可能导致纠纷或诉讼。D. 对供应商的数据治理和记录管理计划进行评估。这种方法耗时过长、成本过高，而且可能没有必要或与冲突无关。进行评估可能会对供应商的数据实践提供一些保证，但并不能解决数据保留要求冲突的根本问题。此外，在合同谈判过程中进行评估可能不可行或不合适，因为这可能需要访问供应商的系统、数据或人员。参考资料：
* :数据销毁的最佳做法 - 编者
* :数据保留的挑战和风险 - DataOlogie
* :第三方风险管理：最终机构间指南
* :确保第三方的数据保护：最佳实践 | UpGuard博客

在审查应用程序服务提供商的应用程序风险时，最重要的因素是应用程序处理数据的功能和类型、远程连接选项以及 APl 集成方法。这些因素决定了应用程序的暴露程度、敏感性和复杂性，从而决定了安全漏洞或违规行为的潜在影响和可能性。软件发布的次数并不那么重要，因为它不会直接影响应用程序的安全性或功能性。不过，它可以表明软件开发流程的成熟度和质量，这是应用程序风险评估的另一个方面。参考资料
* 应用安全风险：评估与建模》，《国际信息系统审计与控制协会期刊》，2016年第2卷

关键度是衡量服务提供商对组织核心业务功能和目标的重要程度。它反映了服务中断或故障对组织运营、声誉、合规性和财务业绩的潜在后果。关键度与风险不同，后者是指负面事件发生的可能性和严重程度。关键度有助于根据不同服务提供商对组织的相对重要性，确定风险评估和缓解工作的优先次序。
关键性并不局限于特定类型的服务，如灾难恢复或个人信息，也不取决于访问或连接方式。关键性是指对组织及时、满意地向客户和利益相关者提供产品或服务的能力影响最大的服务提供商。参考资料：
* 共同评估。(2020).第三方风险认证专业人员 (CTPRP) 学习指南1
* Milliman.(2017).为外包目的定义 "关键或重要职能或活动 "2
* Webster, C. and Sundaram, D.S. (2009)。专业服务环境中服务提供商的沟通风格对客户满意度的影响：关键性和服务性质的调节作用。服务营销期刊》，23（2），103-1131 页

这个答案是最好的方法，因为它符合第三方风险管理的原则，其中包括确保遵守公司政策、合同义务和监管要求。通过要求供应商更换分包商，如果供应商未能达到约定的标准或带来不可接受的风险，公司就行使了终止或修改合作关系的权利。这也最大限度地减少了供应商违规行为对公司声誉、运营和数据安全的潜在影响。其他方案的效果较差，因为它们要么忽视问题，要么损害公司政策，要么依赖供应商的自我评估而不进行核实。参考资料
* 第三方风险管理框架，模块 3：计划治理，第 3.2 节：政策和程序，第 14 页。
* 第三方风险管理框架，模块 4：计划组成部分，第 4.3 节：签订合同，第 24 页
* 第三方风险管理框架，模块 5：计划实施，第 5.2 节：持续监测，第 32 页。
* 第三方风险最佳实践指南》，第 2 页：防范特权用户风险，第 2 页
* 管理和控制第三方风险的五个最佳做法，第 3 页：控制第三方供应商风险的最佳做法》，第 3 页

资产管理计划是一套政策、程序和实践，旨在优化组织资产（如实物资产、财务资产、人力资产或信息资产）的价值、性能和生命周期123。资产管理计划通常针对资产管理的以下方面制定政策要求：
* 政策规定了重复使用物理介质（如设备、服务器、磁盘驱动器等）的要求：
这项要求可确保组织在重新使用、回收或处置包含敏感或机密数据的物理介质123 前，遵循适当的程序对其进行消毒、擦除或销毁。这项要求有助于防止数据泄漏、被盗或丢失，并保护组织的声誉和合规性123。
* 该政策要求员工和承包商在雇佣关系、合同或协议终止时归还所有公司数据和资产：该要求可确保组织收回员工和承包商在雇佣、合同或协议期间分配、借出或访问的所有数 据和资产123 。这项要求有助于维护组织数据和资产的安全性、完整性和可用性，防止未经授权或不当使用或披露123。
* 该政策规定了设备和/或物理介质的库存、识别和处置要求：这一要求确保组织保持准确和最新的设备和/或物理介质清单。
* 记录其拥有、租赁或使用的所有设备和物理介质，并为其分配唯一的标识符123。这项要求还可确保组织遵循适当的程序，处置不再需要、不再有用或不再起作用的设备和物理介质123。这项要求有助于提高组织资产管理流程的效率、有效性和问责制，并降低组织资源被浪费、欺诈或滥用的风险123。
然而，选项 D，即要求访客（包括其他租户和维护人员）签到和签出设施，并在任何 时候都有人陪同的政策要求，通常不会在资产管理计划中界定。相反，这一要求更有可能在实体安全计划中定义，实体安全计划是一套政策、程序和实践，旨在保护组织的场所、资产和人员免受未经授权的访问、损坏或伤害。实体安全计划通常会定义以下实体安全方面的政策要求：
* 该政策要求访客（包括其他租户和维修人员）签到和签退，并始终有人陪同：这一要求确保组织控制和监督访客进入设施，并核实他们的身份、目的和授权。
这项要求还确保组织防止访客进入限制或敏感区域、设备或信息，并在访客访问期间全程护送。这项要求有助于加强组织设施、资产和人员的安保、安全和合规性，并防止潜在的威胁、事件或违规行为。
* 该政策规定了设施及其出入口的上锁、报警和监控要求：这项要求确保组织确保设施周边和内部的安全，并检测和应对任何未经授权或可疑的活动或入侵。这项要求还确保组织采用适当有效的实体安全措施，如门锁、警报器、摄像头、警卫或障碍物，以阻止、防止或延缓未经授权的进入。这项要求有助于保护组织的设施、资产和人员免遭盗窃、破坏、损害或攻击 .
* 该政策规定了设施及其使用者的应急准备和响应要求：这一要求确保组织计划并实施各种程序，以应对可能影响设施及其使用人员的紧急情况，如火灾、洪水、地震、停电或枪击事件。该要求还可确保组织为应急准备和响应提供充足且易于获取的设备、资源和培训，如灭火器、急救包、疏散路线、紧急联系人或演习等。这一要求有助于确保组织设施、资产和人员的安全、健康和连续性，并最大限度地减少紧急情况的影响和损害 .
因此，选项 D 是正确答案，因为它是唯一一个没有反映资产管理计划中通常定义的政策要求的选项。参考资料：以下资源支持已验证的答案和解释：
* 1：资产管理政策指南 + 免费模板 | Fiix
* 2：资产管理政策：如何从零开始制定资产管理政策 - Limble CMMS
* 3：如何制定资产管理政策、战略和治理框架：在贵市建立统一的资产管理方法
* :物理安全政策 - SANS
* :实体安全政策 - IT 治理

合同附录是修改或修订原始合同条款的补充文件。它们可用于解决第三方风险义务，如安全、隐私、合规或性能标准，而无需重写整个 MSA。不过，合同附录应与 MSA 保持一致，并明确规定各方的范围、期限和责任。合同附录还可用于更新或修订合同条款，以应对不断变化的业务需求或监管要求12。
关于外包商和服务供应商之间不同类型的合同和协议，其他说法都是正确的。常青合同是指没有固定终止日期的合同，除非一方决定根据现有合同条款终止合同，否则合同将自动续签3。
招标书是向潜在服务提供商征集具体项目或服务建议书的文件。
招标书应包括基于组织的 TPRM 计划政策、标准和程序的强制性要求，如风险评估、尽职调查、监控、报告和补救。SOW 是定义各方业务要求和义务的文件，如范围、可交付成果、时间表、成本、质量和性能指标 .参考资料：
* 1: 合同与第三方风险 - KPMG UK
* 2: 第三方风险与合同管理：全面入门指南 - Trackado
* 3: 什么是常青合同？| 法律比格
* :[第三方风险最佳做法指导--GARP]
* :第三方风险管理：综合指南 - UpGuard
* :工作说明书 (SOW) - 定义、内容和示例
* :如何为任何行业撰写工作说明书 | Smartsheet

根据 Shared Assessments Certified Third Party Risk Professional (CTPRP) Study Guide，基于风险的决策是应用风险标准对第三方风险评估过程中发现的差距进行优先排序和处理的过程1。评估人员应根据风险的影响、可能性和紧迫性分析差距，并在报告中记录评估结果和建议。评估员还应审查可减轻风险的现有或建议的补偿控制措施，并将报告提交给业务所有者，供其批准风险处理计划。风险处理计划可包括接受、转移、避免或减少风险，具体取决于组织的风险偏好和容忍度1。
其他声明没有反映出基于风险的决策的最佳使用，因为它们要么忽视了风险分析和文件编制过程，要么采用了统一或武断的方法来确定差距的优先次序并加以处理。评估员不应在未咨询企业所有者的情况下就风险处理计划做出决定或结论，因为企业所有者对第三方关系和风险管理决策负有最终责任1。评估员也不应告知，如果差距立即得到纠正，就不会将其列入报告，因为这可能会损害评估过程和报告的完整性和透明度2。
参考资料
* 1：共享评估注册第三方风险专业人员 (CTPRP) 学习指南，第 29-30 页、
33-34
* 2：第三方风险管理：最终机构间指南》，第 10 页

外包商的供应商风险评估流程应包括选项 A、B 和 C 中提到的所有步骤，因为这些步骤对于确保一致、全面、有效地评估供应商的绩效、合规性和风险状况至关重要。然而，选项 D 不是供应商风险评估流程的必要或建议部分，因为它不能反映供应商的实际风险水平，而只能反映外包商组织内的资源可用性。根据资源能力确定评估频率可能导致对外包商的工作量、预算和人员评估不足或过度。这可能导致遗漏关键问题、浪费时间和金钱，或在供应商监督计划中造成漏洞。因此，选项 D 是正确答案，因为它是唯一一个不属于供应商风险评估流程的选项。参考资料：以下资源支持已验证的答案和解释：
* 共享评估的 CTPRP 工作指南第 10 页第 2.1.1 节指出，"评估的频率应基于第三方的风险等级，而不是资源的可用性"。
* 供应商风险评估指南》"第 3 步：确定供应商风险评估的频率 "一节解释说，"供应商风 险评估的频率应基于每个供应商对贵组织造成的风险程度，而不是基于是否有资源或是否方便"。
* 《如何分 9 个步骤成功进行供应商风险评估》中的 "步骤 8：确定供应商风险评估的频率 "一节建议："供应商风险评估的频率应基于每个供应商对贵组织造成的风险程度，而不是基于是否有资源或是否方便。

调查问卷是进行第三方风险评估的最常用、最有效的工具之一。
它们可帮助组织收集有关其供应商和服务提供商的安全和合规做法的信息，并找出可能对组织构成风险的任何漏洞或薄弱环节。
然而，并非所有问卷都是一样的。根据第三方关系的性质和范围，可能需要不同类型和级别的问题来充分评估风险。因此，必须根据风险等级和评估服务类型来配置评估问卷12。
第三方的风险等级由多种因素决定，如其提供的服务的关键性、所处理数据的敏感性、必须遵守的监管要求，以及违规或中断对组织的潜在影响。风险评级越高，问卷就应该越详细、越全面。例如，处理个人或财务数据的高风险第三方可能需要一份涵盖多个安全和隐私领域的问卷，如数据保护、加密、访问控制、事件响应和审计。提供非关键服务或不处理敏感数据的低风险第三方可能只需要一份涵盖防火墙、防病毒和密码政策等基本安全控制的问卷12。
第三方提供的服务类型也会影响问卷的配置。不同的服务可能有不同的安全与合规标准和最佳实践，需要加以解决。
例如，提供基于云的服务的第三方可能需要一份涵盖云安全架构、数据驻留、服务水平协议和灾难恢复等主题的调查问卷。提供软件开发服务的第三方可能需要一份涵盖软件开发生命周期、代码审查、测试和漏洞管理等主题的调查问卷12。
通过根据风险等级和被评估服务的类型配置评估问卷，组织可以确保向正确的第三方提出正确的问题，并获得相关和有意义的信息，以支持其风险管理决策。因此，"应根据风险等级和被评估服务的类型配置评估问卷 "的说法是正确的12。参考文献1: 如何使用 SIG 问卷更好地进行第三方风险管理 2：
第三方风险评估问卷 - KPMG India

事件响应中的通知义务是将影响相关方数据或系统的安全漏洞或事件通知相关方的法律或合同义务。根据事件的类型、范围和影响，以及所涉及的司法管辖区、行业和合同协议，这些义务可能会有所不同。最有可能触发通知义务的因素包括
* 法规要求：不同的法律法规可能会对发生或造成安全事故的组织规定不同的通知义务。例如，《通用数据保护条例》（GDPR）要求数据控制者在意识到个人数据泄露后 72 小时内通知监管机构，如果泄露对受影响数据主体的权利和自由构成高风险，则应立即通知受影响数据主体，不得无故拖延1。同样，《计算机安全事件通知规则》要求银行及其服务提供商在发生严重扰乱、降低或损害其运营、服务或客户的计算机安全事件后，在 36 小时内尽快通知其主要联邦监管机构2。
* 数据分类或敏感性：安全事件所涉及数据的类型和敏感性也会影响通知义务。例如，如果数据包含个人身份信息 (PII)、健康信息、财务信息或其他机密或敏感信息，组织可能必须通知数据所有者、监管机构、执法部门或其他利益相关者有关事件及其隐私或安全的潜在风险3。数据分类或敏感性还可能决定通知的内容和时间，以及使用的适当沟通渠道。
* 合同条款：组织与其第三方供应商或服务提供商之间的合同协议也可规定发生安全事故时的通知义务。例如，合同可定义各方的角色和责任、通知程序和时限、共享的信息、采取的补救措施以及违反合同的处罚或责任。合同条款还可反映适用于组织或第三方的监管要求或行业标准。
最不可能触发通知义务的因素是
* 数据加密：数据加密是一种安全措施，可保护数据免遭未经授权的访问、修改或披露。数据加密可减少安全事故的影响或严重程度，因为它可以防止或限制数据暴露给恶意行为者。但是，数据加密并不能免除通知义务，因为组织仍需评估事件的性质和程度，并确定加密是否有效或受到破坏。此外，数据加密可能不足以保护数据免受其他类型的威胁，如删除、损坏或勒索软件。因此，数据加密不是影响事件响应中通知义务的因素。
参考资料
* 1: GDPR 第 33 条：向监管机构通报个人数据泄露情况
* 2：计算机安全事件通知规则
* 3：第三方事件管理（TPIM）：如何平衡 IRP 与第三方之间的关系
* :[改进第三方事件响应]
* :[第三方事件响应手册]
* :[加密能保护您免遭数据泄露吗？］

IT 资产管理计划是一套流程和工具，可帮助企业在 IT 资产从购置到处置的整个生命周期内对其进行管理。IT 资产管理计划应包括以下组成部分1234：
* 维护系统、连接和软件应用程序的清单：这部分内容包括创建和更新一份全面、准确的清单，列出所有由机构拥有或使用的信息技术资产。
* 组织，包括其位置、所有权、配置和状态。这有助于组织优化 IT 资源的使用，降低成本，并确保符合许可和监管要求。
* 跟踪和监控供应商更新的可用性以及任何终止支持的时间表：这部分包括跟踪 IT 资产供应商提供的最新更新、补丁和安全修复，以及资产的使用寿命终止日期和支持选项。这有助于组织维护其 IT 资产的安全性、性能和功能，并计划及时更换或迁移过时或不支持的资产。
* 确定并跟踪 IT 资产报废政策的遵守情况：这部分内容涉及定义和实施一项政策，用于退役和处置组织不再需要、不再有用或不再支持的 IT 资产。这有助于组织降低与 IT 资产处置相关的风险、成本和环境影响，并确保遵守数据保护和处置法规。
为内部开发的应用程序定义应用程序安全标准不是 IT 资产管理计划的组成部分，而是应用程序开发和安全计划的组成部分。应用程序开发和安全计划是一套流程和工具，帮助企业设计、开发、测试、部署和维护安全可靠的应用程序，无论这些应用程序是内部开发的还是从外部获取的。应用程序开发和安全计划应包括以下组成部分5 ：
* 为内部开发的应用程序定义应用程序安全标准：这部分涉及为组织开发的应用程序建立和实施一套安全要求和最佳实践，如安全编码、测试和部署方法、安全控制和漏洞管理。这有助于组织确保其应用程序和数据的保密性、完整性和可用性，并防止或减轻安全漏洞和事故。
* 对从外部获取的应用程序进行安全评估：这部分内容涉及在将从供应商、合作伙伴或开源社区等外部来源获取的应用程序整合到组织的 IT 环境之前，对其进行安全审查和审计。这有助于组织识别和解决应用程序中的任何安全风险、差距或薄弱环节，并确保与组织的安全政策和标准兼容和合规。
参考资料
* ITAM：IT资产管理终极指南
* IT 资产管理：成功的 10 个最佳做法
* 资产管理：五大核心要素
* 资产管理的基本原理
* 应用程序开发和安全计划
* 应用程序安全最佳做法

信息安全事故管理计划是一套政策、程序和工具，使组织能够预防、检测、应对信息安全事故，并从事故中恢复。信息安全事故是指任何损害信息资产、系统或服务的机密性、完整性或可用性的事件12。正式的信息安全事故管理计划通常包括以下组成部分12：
* 定义内部升级流程：这部分定义了在组织内部升级和管理信息安全事件的角色和责任、沟通渠道和报告机制。它还确定了确定事件严重性和影响的标准和阈值，以及适当的响应和升级级别。
* 向外部披露信息的协议：这部分定义了向外部利益相关方（如客户、监管机构、执法部门、媒体或其他第三方）披露信息安全事件相关信息的规则和指南。它还规定了法律和合同义务、披露的时间和频率、格式和内容以及审批和授权流程。
* 通知客户的机制：这部分规定了通知可能受信息安全事故影响的客户或顾客的方法和程序。它还规定了通知的目标、范围和内容，以及时间和频率、传递渠道、反馈和跟进机制。
* 支持灾难恢复的流程：这部分内容定义了在重大信息安全事故造成以下后果后恢复组织正常运行的步骤和行动
* 对信息资产、系统或服务造成重大破坏或损害。它还规定了角色和责任、资源和工具、备份和恢复计划，以及灾难恢复的测试和验证程序。
D. 该计划包括支持灾难恢复的流程。虽然灾难恢复是信息安全的一个重要方面，但它不是信息安全事件管理计划的一个具体组成部分。相反，它是一个单独的计划，涵盖更广泛的业务连续性和恢复能力，除信息安全事件外，还可能涉及其他类型的灾难，如自然灾害、停电或流行病3 。因此，正确答案为 D。该计划包括支持灾难恢复的流程。参考资料：1: 计算机安全事件处理指南 2: 制定和实施安全事件管理计划 3: 业务连续性管理与灾难恢复：灾难恢复与安全事件响应有何区别？

对于具有系统到系统访问权限的服务，确保在实施更改之前有足够的时间进行质量保证（QA）测试，对外包商降低业务中断风险至关重要。这一要求可确保对系统的任何修改都经过彻底审查，以发现可能影响外包商运营的潜在问题。通过质量保证测试，可以识别并修复错误、兼容性问题和其他可能导致业务中断或安全漏洞的潜在问题。通过为质量保证测试分配充足的时间，企业可以确保变更功能齐全且安全，从而维护提供给外包商的服务的完整性和可用性。这种做法符合变更管理的行业标准，该标准提倡采用全面的测试和验证流程，以确保系统变更的可靠性和稳定性。
参考资料
* ITIL（信息技术基础设施库）等行业标准强调了在变更管理流程中进行全面测试和验证的重要性，以最大限度地降低中断风险，确保服务的顺利运行。
* 管理 IT 外包安排中的变更》等指南：TPRM 视角 "等指南深入介绍了第三方关系中变更管理的最佳实践，包括以下关键作用
* 质量保证测试在降低与系统变更有关的风险方面的作用。