27 .5 软件许可协议的合同条款
27 .5. 7 供应商审计权
大多数软件供应商都希望加入允许进行合规性审计的条款。虽然合同可能规定了供应商的审计权,但机构应该协商对流程进行更多的控制。该机构的信息安全官员应将任何机构或联邦的安全、保密和访问限制或参数纳入此类审计。符合安全审计要求和限制的 COV ITRM 政策、标准和指南 (PSG) 可在以下位置找到: https://www.vita.virginia.gov/it-governance/itrm-policies-standards/ 。建议的一般合同语言可能包括并针对代理机构进行定制,并与任何安全审计限制和与供应商的任何谈判保持一致:
“供应商应在安排任何软件许可审核之前提前四十五( 45 )天以书面形式通知(贵机构名称) 。通知应指定进行审计的个人姓名、审计持续时间以及审计如何进行。此外,供应商及其代表、代理商和分包商应遵守(贵机构名称)的任何访问、安全和保密要求和限制。对于审计过程中发现的未经授权的软件,不会对(贵机构名称)或联邦处以任何罚款。如果确定(贵机构名称)使用未经授权的软件,则(贵机构名称)的最大责任应为许可该软件的费用。与审计相关的所有费用应由供应商承担。”
按关键词或常用术语查找手册。