第三方顾问背景调查，NDA签署等SOC-2

Question

我们是一家符合SOC-2的公司。到目前为止，我们以前都有全职员工，因此我们可以对所有雇用的雇员进行尽职调查，例如背景调查、推荐人调查、取得NDA和已签署的登机文件等。最近，我们开始从第三方机构雇用兼职顾问。我们与第三方代理(NDA、协议涉及IP等)签署文件。我们的SOC-2团队坚持遵循与第三方指派给我们的顾问签署文件/背景检查等相同的过程。第三方机构已经和他们的顾问一起做了这件事，作为入职过程的一部分，他们非常不情愿和不舒服地让他们的顾问/雇员直接与我们签署这些文件。

我们要求第三方顾问签署这些文件，甚至从SOC-2的角度来看，这是公平的吗？我相信，既然第三方已经处理好了，而且我们已经和第三方签署了文件，我们应该会做得很好。任何关于这方面的指导都会很有帮助。

Answer 1

在我看来，你不应该与顾问签署一份关于背景调查、参考调查和NDA的文件，除非您正在执行这些背景检查、参考检查和与个人一起创建NDA。根据描述，您正在将背景调查和参考调查推迟到咨询机构，并在您的业务和咨询代理之间设置了NDA。

我的建议是，你制定了一个供应商管理程序，其中包括人员配置供应商，如咨询机构和外部招聘人员，其中概述了你如何评估他们满足你需求的能力。你可以接受第三方审计，也可以自己对顾问进行审计，以断言他们正在进行必要的背景和参考调查。两家公司之间的NDA可能也足以确保顾问得到适当的保障，但法律审查可以证实这一点。

如果您有问题，SOC2评估人员将能够指出潜在的问题。但是，似乎为了在不执行相关进程的情况下对文档进行签名而对文档进行签名会引起更多的问题。如果您重复了流程，那么这似乎是业务的不必要的成本负担。