07王忠惠-基于供应商安全能力考核的供应商评估体系（初稿）.pdf

1、基于供应商安全能力考核的供应商评估体系供应商安全评估实务千寻位置 王忠惠企业面对的供应链安全现状01供应链风险分类及安全要求02供应商的选择与评估流程03供应商安全能力考核04企业供应链安全展望05安全威胁不止开源软件供应链安全管理的不足供应商审查缺少全面的审查流程，或无深入评估安全实力和合规性透明度管理不了解供应链的运作，未准确识别合作伙伴导致的风险漏洞与响应不及时的漏洞检测、通知和修补，不健全的应急响应计划意识与合规安全意识不一致，未能充分掌握合规性要求，潜在监管企业面对的供应链安全现状01供应链风险分类及安全要求02供应商的选择与评估流程03供应商安全能力考核04企业供应链安全展望05潜

2、在的安全风险技 术 漏 洞人 员 意 识法 律 不 合 规原 型 保 护安全功能不足隐私设计缺失数据保护不到位后门及恶意逻辑网络防御匮乏社会学攻击安全意识竞对窃取商业泄密缺失NDA责任条款模糊违背法律无关键人员清单无物理安全措施无监控保护无 事 件 告 知 和 恢复业 务 中 断经营水平差安全能力差易被黑客掌握如何理解供应链安全要求ISO信息安全标准体系n 供应商评估活动n 供应链分析管理n 个人信息影响评估n 信息共享和传递n 供应链审计网络安全法及相关法律n 安全管理责任n 开展安全评估n 个人信息保护n 重要数据出境n 事件应急处置等保、密评、关保等测评n 供应链安全n 应急响应能力n

3、供应商管理213企业面对的供应链安全现状01供应链风险分类及安全要求02供应商的选择与评估流程03供应商安全能力考核04企业供应链安全展望05供应商的选择关键技术关键服务技术来源OpenAPI定制性先进性可靠性研发人员服务人员及时性最低的需求点最严格的要求避免迷魂汤行业影响力同行评价用户交流公开性事件公司管理文化公司安全文化安全管理体系隐私保护体系产品服务质量SLA承诺责任及赔偿保密性低成本业 务 匹 配口 碑 声 誉透 明 度技 术 能 力体 系 认 证商 务 条 款供应商准入管理0404准入采购分析供应商招募供应商资质审查退出供应商分类供应商替代或淘汰寻 源招投标竞价与选择三方寻源过 程

4、管 控合作执行交付监控风险追踪综 合 评 估综合能力考核供应商能力培训改进供应商质量提升供应商能力赋能01010606050503030202开展评估的时机01准入项目立项需求评审确认标准0202过程资质认证测试验证交付审核0303定期培训评估考核0404改进评级提升问题追踪企业面对的供应链安全现状01供应链风险分类及安全要求02供应商的选择与评估流程03供应商安全能力考核04企业供应链安全展望05供应商安全能力考核体系01合约协议N D A、安 全 责 任 书、数 据 处 理 协 议、隐 私 保 护 协 议、落 实 情 况02体系认证安 全 体 系 认 证、网 络 数 据 安 全 体 系、年

5、 度 安 全 计 划、安 全 机 构 和 执 行 记 录03研发安全产 品 安 全 基 线、S D L 过 程、渗 透 测 试、安 全 控 制 机 制 证 明、数 据 流 图、日 志04质量测试问 题 管 理、接 口 和 中 间 件 清 单、私 有 协 议 识 别、测 试 覆 盖 与 回 归05软件供应链商 业 软 件、开 源 软 件、组 件 合 规 清 单、版 本 管 控 机 制06安全生产稳 定 性 管 理、安 全 管 理 活 动、上 线 安 全 卡 发07交付安全交 付 物 安 全 管 控、完 整 性 和 版 本 管 控、数 据 安 全 活 动、作 业 记 录、事 件 响 应08隐私保护

6、隐 私 保 护 政 策、个 人 信 息 影 响 性 分 析、隐 私 培 训、数 据 出 境、奖 惩09漏洞应急S R C、漏 洞 披 露、漏 洞 定 级 处 置、漏 洞 响 应 流 程10审计溯源台 账11人员管理人 员 招 聘 周 期 管 控、关 键 人 员 岗 位 识 别12原型保护商 业 保 密 机 制考核与监督的挑战培训培训赋能赋能退出退出企业面对的供应链安全现状01供应链风险分类及安全要求02供应商的选择与评估流程03供应商安全能力考核04企业供应链安全展望05供应