提示点↑蓝字关注,学体系管理知识!点可!
密级等级:机密
受控状态:受控
文件编号:HW -IP-021-V1.0
供应关系管理程序
V1.0
2019年01月10日
广东***技术股份有限公司
变 更 履 历
版本
变更内容
编制人/
创建日期
审核人/
审核日期
批准人/
批准日期
备注
V1.0
初始版本,文档建立
1 目的
为加强对供应商服务提供商(合作商)的控制,减少安全风险,防范公司信息资产损失,特制定本程序。
2 范围
适用于组织信息安全供应商服务管理活动,包括供应商确定过程、供应商的服务安全控制措施、供应商的服务监督和评审方法、供应商的变更管理。
3 职责
3.1经营管理中心
负责统一管理供应商服务的控制活动。
负责信息处理设备、网络、系统、软件的采购和维护供应商服务的管理。
负责确定合格的供应商服务商,并与供应商服务商签订服务合同和保密协议;
负责对供应商服务商的服务进行安全控制;
负责定期对供应商服务商进行监督和评审;
负责做好供应商服务商的变更管理。
3.2 其他相关部门
负责对工作过程中所接受供应商的服务的表现进行评价。
4 相关文件
《信息安全管理手册》
《相关方信息安全管理程序》
《安全区域管理程序》
《信息系统访问与使用监控管理程序》
5 程序
5.1 供应商服务的确定
本组织所需的供应商服务包括:
a)采购的物资需要委托供应商进行监造;
b)技术开发项目需要分包;
c)信息处理设备、网络、系统、软件需要供应商进行开发和维护;
d)信息安全等需要委托供应商提供服务;
e)管理服务提供商,管理咨询,业务咨询,外部审核方;
f)清洁、物业、会计以及其他外包的支持性服务提供商;
g)其他服务提供方。
在与供应商签署服务合同前,相关的主管部门应明确供应商服务的内容和要求,评估由于供应商服务带来的信息安全风险,并对供应商提供服务的能力进行评定,应确保供应商有充分的提供服务的能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务的连贯性,必要时可以通过招投标,确定合格的供应商服务提供商。
对重要的供应商服务提供商,应确定其信息安全管理要求和提供服务的能力要求,制定《供应商信息安全核查计划》和《供应商信息安全核查表》并进行现场评定。
确定合格的供应商服务提供商后,相关主管部门应与供应商签署供应商服务合同(SLA),并在服务合同中体现信息安全风险金。如果服务中涉及需要供应商保密的信息,必须明确供应商的责任,并签订《供应商服务保密协议》。
如果供应商服务涉及组织的知识产权,应明确供应商的知识产权保护责任,与供应商签署《知识产权声明书》。
5.2 对供应商服务的安全控制
供应商需要提供服务人员的姓名、联系方式等信息,服务人员需持有效身份证明进入工作场所。
供应商服务人员在现场提供服务的,应遵守现场有关规定。
供应商服务人员在远程提供服务时,必须明确时间、地点、联系人、工作安排、预期结果、观察期等。
对供应商技术人员在服务中需要设备入网时,供应商技术人员应填写《供应商逻辑访问申请授权表》,经相关主管部门审核、公司主管领导批准后,方可入网。
供应商技术人员对系统进行检查和维护时,需要有组织的专业人员陪同,应按照《安全区域管理程序》和《信息系统访问与使用监控管理程序》进行控制,并需要填写《供应商工作记录单》,或在检查和维护记录、外来人员工作记录中填写供应商服务情况。
5.3 对供应商服务的监督和评审
5.3.1 确定供应商质量评审指标
在与供应商签订合同时,明确供应商的评审指标确定,一般包括:产品质量及时性、规范性、效率、服务验收交付物。
5.3.2 发放调查表
由经营管理中心制定《供应商服务质量评审调查表》,并发放调查表到享用供应商提供服务的各相关部门。
5.3.3 收集服务记录、数据分析
经营管理中心根据各部门反馈的《供应商服务质量评审调查表》,进行优劣分析。
5.3.4 到货验收
采购货品到货后,经营管理中心组织人员对货品进行验收,以保证货品的合格率,验收合格率会作为对供应商的考核指标。
5.3.5 服务评审
相关部门根据前期数据分析结果,进行服务评审;
供应商提供服务不合格者,要求其限期进行整改;并在整改过程中进行时时跟踪与监督。
5.3.6 列入合格供方清单
经营管理中心根据服务评审结果,将首次评审合格者与后期整改后合格的供应商企业,列入《合格供方清单》。
5.4 供应商服务的变更管理
当供应商发生变更时,相关主管部门应对供应商的服务和服务的现有状态进行评估,并编写《供应商变更报告》。对于变更过的供应商仍需要按照本程序的5.1至5.3条款进行控制和管理。
当服务内容发生变更时,相关主管部门应对供应商的服务和服务的现有状态进行评估,还要对服务内容变更后对现有信息系统影响进行评估,确保信息系统的安全性,并编写《供应商变更报告》。对于变更过的供应商服务内容仍需要按照本程序的5.1至5.3条款进行控制和管理。
6 记录
《供应商服务合同》
《供应商服务保密协议》
《知识产权声明书》
《供应商服务质量评审调查表》
《合格供方清单》
《供应商逻辑访问申请授权表》
《供应商工作记录单》
《供应商变更报告》
【体系管理】
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
