供应商安全管理目的是对供应商在服务过程中的信息安全管理提供规范、指导,内容包括供应商的调查、合同协议、服务交付及日常监督等管理过程。
一、供应商风险分析与评估调查
▼▼供应商风险分析
当供应商在业务往来过程中需要访问组织的场所、信息、设备及应用系统时,应充分评估第三方访问所带来的信息安全风险,并应确保相关信息处理设施和信息资产在访问过程得到可靠的安全保护。
▼▼供应商评估与调查
在选择供应商时应对供应商进行详细的评估,评估供应商经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平等内容。
在与常驻场外包服务提供商签订合同前,应对供应商进行尽职调查,调查内容包括:服务能力和技术支持、服务经验、服务人员技能、市场评价等。
二、供应商合同安全条款与协议
▼▼保密协议与安全条款
若供应商为组织提供服务可能涉及到敏感资料时,应在与供应商签订的合同中包含保密协议,要求供应商只能在为组织提供产品或服务的过程中使用组织向供应商直接或间接提供的信息。
与供应商的合同中应包含授权访问条款,要求供应商只能在组织授权的范围和时间内,按业务需要使用、访问组织指定的资产。在必要的情况下,可通过合同附件明确规定供应商授权访问的具体步骤和约束条件。
与提供信息和通信技术服务及产品的供应商签订协议时,应包括与供应链相关信息安全风险处理的要求,内容包括信息保密性、信息完整性、业务连续性、数据跨国界流动等内容。
▼▼合规要求与违约处罚
与供应商的合同中应包含法规遵循条款,要求供应商在为组织提供产品或服务时,应遵守国家相关的法律和法规,如知识产权保护方面的法律和法规。
与供应商的合同中应包含违约处置的条款,明确规定供应商若违反相关安全条款所应受到的惩处。
三、服务商服务交付管理
▼▼供应商交付评审应对供应商的服务及相关报告、记录、交付件等进行评审,对供应商服务的监督和评审应按照商定的合同或协议执行,监督和评审应涉及到如下内容:
-
监督服务执行效率并检查对协议的符合程度。
-
评审由供应商产生的服务报告、记录、交付件。
-
评审服务过程中所应用到的软硬件产品、所使用协议、系统部署及使用指南、知识产权、安全使用许可销售证明等。
- 对服务交付过程中出现的所有问题进行识别和管理。
▼▼供应商变更风险
供应商服务发生变更时,应对服务变更带来的风险进行分析,尽量将服务变更给业务带来的影响降到最低,在进行服务变更时应考虑如下内容:
- 变更服务面临风险的影响,即:是否会带来新的信息安全风险。
- 变更过程中的服务资料、信息资产、服务内容交接等事项。
- 变更过程中合同内容以及保密协议中内容条款的限制。