供应商评估
评估流程
初始评估(委托前)
| 步骤 | 描述 | 责任人 |
|---|---|---|
| 1. 需求分析 | 基于保护需求定义安全要求 | 业务部门 + ISB |
| 2. 信息收集 | 获取安全文档、认证、参考资料 | 采购 |
| 3. 评估 | 按评估标准进行审查 | ISB |
| 4. 风险评估 | 确定残余风险、制定措施 | ISB |
| 5. 决策 | 批准或拒绝 | ISB + 管理层(关键供应商) |
评估标准(评分)
| 标准 | 权重 | 评分标准 |
|---|---|---|
| 安全认证(ISO 27001、SOC 2、BSI C5) | 25% | 0-3(无 / 进行中 / 已取得 / 当前有效) |
| 事件响应能力 | 20% | 0-3(无流程 / 基础 / 已文档化 / 已测试) |
| 所在地/法律管辖区 | 15% | 0-3(不安全 / 有保障的第三国 / 欧盟 / 德国) |
| 合同条款 | 15% | 0-3(标准 / 已调整 / 含审计权 / 完整) |
| 分包商透明度 | 10% | 0-3(无信息 / 清单 / 需审批 / 合同约定) |
| 历史记录 | 15% | 0-3(未知 / < 1年 / 1-3年 / > 3年) |
最低分数: 标准供应商12/18分,关键供应商15/18分。
复评
| 供应商类别 | 评估间隔 |
|---|---|
| 关键基础设施供应商 | 每年 |
| 云和SaaS供应商 | 每年 |
| 软件供应商 | 合同续签时 |
| 支持合作伙伴 | 每2年 |
| 事件驱动 | 发生安全事件或供应商重大变更时 |
分类
| 类别 | 定义 | 示例 | 要求 |
|---|---|---|---|
| 关键 | 故障影响核心业务 | 托管、主要云服务 | 最高安全要求,年度审计权 |
| 重要 | 故障影响个别服务 | SaaS工具、DNS供应商 | 高要求,事件报告义务 |
| 标准 | 故障影响较小 | 咨询、维护 | 基本要求 |