NiCE exige que todos los proveedores atraviesen un proceso de evaluación y revisión antes de que puedan suministrar productos o servicios a la empresa. Al inicio del proceso, se crea un expediente para cada proveedor. Los departamentos de Seguridad de la Información o Auditoría Interna analizan al proveedor. El rigor de este análisis depende del tipo de proveedor. Los proveedores críticos se someten a otras revisiones un año después de ser aceptados. Una vez finalizadas las revisiones, el expediente del proveedor suele contener lo siguiente:
-
Cuestionario de seguridad para proveedores (VSQ). Se debe responder un VSQ durante la incorporación y en cada revisión periódica.
-
Plan de acciones correctivas (CAP). Un CAP se basa en el nivel de riesgo evaluado del proveedor.
-
Exhibición de seguridad de proveedores de NiCE (anexo). El anexo se basa en el nivel de riesgo del proveedor.
-
Otras garantías de presentación de proveedores, como:
-
Acuerdo de asociación comercial (BAA)
-
Podrían solicitarse certificaciones ISO, según el nivel de riesgo del proveedor
El expediente refleja la revisión de seguridad inicial del proveedor y su garantía de revisión anual.
NiCE mantiene un flujo de procesos documentado para llevar a cabo este proceso de revisión.