模板:供应商评估
说明
根据 §30 第2款第4项 BSIG 评估服务提供商和供应商的安全成熟度。在签订合同前进行,至少每年重复一次。
供应商主数据
| 字段 | 值 |
|---|---|
| 供应商 ID | VEN-NIS2-XXXX |
| 名称 | |
| 所在地 / 国家 | |
| 主要联系人 | [姓名 + 邮箱] |
| 安全联系人 | [姓名 + 邮箱 + 电话] |
| 合同类型 | [ ] 托管 [ ] 云 [ ] 软件供应商 [ ] 支持 [ ] 其他 |
| 关键性 | [低 / 中 / 高 / 严重] |
| 处理的数据 | [PII / 业务数据 / 凭据 / 无] |
| GDPR 数据处理协议 | [ ] 有 [ ] 无 [ ] 不需要 |
证书与凭证
| 标准 | 已持有 | 有效期至 | 适用范围 |
|---|---|---|---|
| ISO/IEC 27001 | [ ] | ||
| SOC 2 Type II | [ ] | ||
| BSI C5 | [ ] | ||
| TISAX | [ ] | ||
| 其他 | [ ] |
安全检查清单
| 领域 | 问题 | 状态 | 证据 |
|---|---|---|---|
| 治理 | 是否有书面 ISMS? | [是/否/不适用] | |
| 治理 | 是否任命 CISO? | ||
| 事件 | 是否有事件响应计划? | ||
| 事件 | 是否合同保证 24 小时事件通知? | ||
| BCM | 是否有 BCM 计划?上次测试? | ||
| 供应链 | 是否披露次级供应商? | ||
| 漏洞 | 是否有书面补丁管理流程? | ||
| 漏洞 | 是否主动监控 CVE? | ||
| 培训 | 员工是否接受定期安全培训? | ||
| 加密 | 数据是否在静态和传输中加密? | ||
| 访问 | 管理访问是否强制 MFA? | ||
| 访问 | 是否有书面入职/离职流程? | ||
| 审计 | 是否合同保证审计权? |
风险评估
| 方面 | 评级 |
|---|---|
| 对 BAUER GROUP 的关键性 | [低 / 中 / 高 / 严重] |
| 供应商安全成熟度 | [低 / 中 / 高] |
| 由此产生的风险 | [低 / 中 / 高 / 严重] |
| 风险处置 | [ ] 接受 [ ] 合同条件 [ ] 拒绝 |
合同要求
| 要求 | 已纳入合同 |
|---|---|
| 24 小时事件通知 | [ ] |
| 审计权(至少每年一次) | [ ] |
| 次级供应商同意义务 | [ ] |
| 合同结束时数据返还/删除 | [ ] |
| 最低安全标准(ISO 27001 等) | [ ] |
| 安全违规责任 | [ ] |
批准
| 姓名 | 日期 | |
|---|---|---|
| 评估者 | ||
| 审查者(CISO) | ||
| 批准者(采购 / 管理层) |
注意事项
- 严重供应商每半年重新评估
- 高风险供应商每年重新评估
- 重大变更(证书丢失、事件)触发立即重新评估