【程序文件】供应关系管理程序-ISO27001体系|供应商服务质量评审调查表|信息安全|合格供方清单

提示点↑蓝字关注，学体系管理知识！点可！

密级等级：机密

受控状态：受控

文件编号：HW -IP-021-V1.0

供应关系管理程序

V1.0

2019年01月10日

广东***技术股份有限公司

变更履历

版本

变更内容

编制人/

创建日期

审核人/

审核日期

批准人/

批准日期

备注

V1.0

初始版本，文档建立

1 目的

为加强对供应商服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 范围

适用于组织信息安全供应商服务管理活动,包括供应商确定过程、供应商的服务安全控制措施、供应商的服务监督和评审方法、供应商的变更管理。

3 职责

3.1经营管理中心

负责统一管理供应商服务的控制活动。

负责信息处理设备、网络、系统、软件的采购和维护供应商服务的管理。

负责确定合格的供应商服务商，并与供应商服务商签订服务合同和保密协议；

负责对供应商服务商的服务进行安全控制；

负责定期对供应商服务商进行监督和评审；

负责做好供应商服务商的变更管理。

3.2 其他相关部门

负责对工作过程中所接受供应商的服务的表现进行评价。

4 相关文件

《信息安全管理手册》

《相关方信息安全管理程序》

《安全区域管理程序》

《信息系统访问与使用监控管理程序》

5 程序

5.1 供应商服务的确定

本组织所需的供应商服务包括：

a)采购的物资需要委托供应商进行监造；

b)技术开发项目需要分包；

c)信息处理设备、网络、系统、软件需要供应商进行开发和维护；

d)信息安全等需要委托供应商提供服务；

e)管理服务提供商，管理咨询，业务咨询，外部审核方；

f)清洁、物业、会计以及其他外包的支持性服务提供商；

g)其他服务提供方。

在与供应商签署服务合同前，相关的主管部门应明确供应商服务的内容和要求，评估由于供应商服务带来的信息安全风险，并对供应商提供服务的能力进行评定，应确保供应商有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的供应商服务提供商。

对重要的供应商服务提供商，应确定其信息安全管理要求和提供服务的能力要求，制定《供应商信息安全核查计划》和《供应商信息安全核查表》并进行现场评定。

确定合格的供应商服务提供商后，相关主管部门应与供应商签署供应商服务合同(SLA)，并在服务合同中体现信息安全风险金。如果服务中涉及需要供应商保密的信息，必须明确供应商的责任，并签订《供应商服务保密协议》。

如果供应商服务涉及组织的知识产权，应明确供应商的知识产权保护责任，与供应商签署《知识产权声明书》。

5.2 对供应商服务的安全控制

供应商需要提供服务人员的姓名、联系方式等信息，服务人员需持有效身份证明进入工作场所。

供应商服务人员在现场提供服务的，应遵守现场有关规定。

供应商服务人员在远程提供服务时，必须明确时间、地点、联系人、工作安排、预期结果、观察期等。

对供应商技术人员在服务中需要设备入网时，供应商技术人员应填写《供应商逻辑访问申请授权表》，经相关主管部门审核、公司主管领导批准后，方可入网。

供应商技术人员对系统进行检查和维护时，需要有组织的专业人员陪同，应按照《安全区域管理程序》和《信息系统访问与使用监控管理程序》进行控制，并需要填写《供应商工作记录单》，或在检查和维护记录、外来人员工作记录中填写供应商服务情况。

5.3 对供应商服务的监督和评审

5.3.1 确定供应商质量评审指标

在与供应商签订合同时，明确供应商的评审指标确定，一般包括：产品质量及时性、规范性、效率、服务验收交付物。