Kennedy氏は次のような質問を推奨している。それは「ベンダーは、知的財産であれ、顧客の個人情報であれ、重要なデータを取り扱っている、あるいは管理しているだろうか?ベンダーの製品あるいはサービスは必要不可欠な業務機能に関与しているだろうか?あるいは、売上や支出に直接の影響を与えるものだろうか?ベンダーのサービスは単一障害点になるだろうか?」というものだ。
Kennedy氏によると、企業はこれらの疑問に対する答えを出した後で、デューディリジェンスに着手できるようになるという。企業は、質問票を送付したり、ベンダーの主要な従業員にインタビューしたり、資料を請求したり、可能であればベンダー訪問の約束を取り付けるといったことをするべきだ。同氏は、以下のような質問をベンダーに対して投げかけるべきだとした。
- マイナスの評判はほとんどないのか?
- 契約上の義務を果たせるという裏付けとして信用照会先を提示できるか?
- セキュリティ責任者を配置するとともに、明確なセキュリティポリシーを設定しているか?
- 現実的な事業継続計画(BCP)や災害復旧計画(DRP)を定めているか?
- 財務上の健全性はあるか?(すなわち、利益を生み出しているのか?あるいは、依然として投資家からのファンドに依存しているのか?他に大手顧客を抱えているのか?撤退戦略はどのようなものか?)また、米国の監査基準であるStatement on Standards for Attestation Engagements(SSAE 18)レポートやSOC 2レポートを必要に応じて提示できるか?
- サードパーティーによる自社サービスの脆弱性評価を実施しているか?また、その結果を共有できるか?
- 追加のテスト実施に同意するか?
- 契約の締結後、ベンダーの統制に対する継続的な評価に関して、どのような条件を適用できるか?