数据供应链管理制度
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
修订说明
- 烟台王较瘦 第一次编写 2022/5/1
- 思安 修订 2023/6/1
第一章 总则
第一条 目标
为规避北京思度安全股份有限公司(以下简称公司)上下游数据供应过程中可能出现的安全风险,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》,结合集团公司实际情况,制定本办法。
第二条 适用范围
本办法适用于集团公司总部,各分子公司、基层企业。
第三条 基本原则
数据供应商选择和管理应遵循合法合规从严挑选原则,数据传输应遵循最小授权原则。
第四条 术语
数据供应链是数据生产及流通过程中,涉及将数据产品或服务提供给最终用户所形成的网链结构。 数据供应链安全管理的核心是厘清各方权力责任边界,对各方数据交互行为进行合规管理,防范组织上下游的数据供应过程中的安全风险。
第二章 组织与职责
公司采购部负责公司范围内数据供应商的整体管理。
公司信息安全部负责数据供应商数据安全防护能力评估。
第三章 供应商管理
第五条 供应商准入
(一) 具有独立法人资格,提供营业执照、税务登记证、组织机构代码证等相关证件;
(二) 了解公司的生产经营情况和采购需求;
(三) 供应商必须服从公司的管理,严格遵守公司各项规章制度;
(四) 对接系统应通过公安部等保3级测评或ISO27001测评。
第六条 供应商管理
建立公司数据相关服务供应商管理台账,统一录入公司的采购平台进行管理,能够进行实时查询,合作结束的供应商,对接人需要及时在系统中更改供应商状态。
第七条 供应商责任约定
合同中应明确数据服务商对数据具有机密性、完整性和可用性的义务。
第八条 供应商考核
考核原则:量化考评,公平竞争,优胜劣汰
(一) 由相关产品部门负责组织,销售、风险控制管理中心等组成供应商考核评价小组;
(二) 考核评价小组对供应商产品的质量、价格、供货时间、服务等做出综合评价,原则上每年不得少于一次;
(三) 考核得分90分及以上的为A类,考核得分在70分-89分之间的为B类,考核得分在60分-69分之间的为C类,考核得分在60分以下的,不得列入《合格供应商名录》;
(四) 风险控制管理中心负责汇总考核评价结果,报营销委员会审核,提交经营委员会批准。
第四章 监督检查
对于谈判人及谈判小组成员,按照采购成本节约额的一定比例发放采购节约奖金。采购成本节约额以当期执行的《供应商名录》中的采购价格与实际采购价格的差额乘以当月采购下单量综合计算。
产品部门以外的人员向公司推荐供应商的,经准入评审确定为合格供应商的,自纳入《合格供应商名录》之日起一年内,有权参加采购节约奖金的分配。
采购节约奖金按月发放,由谈判人负责计算、分配,金额由风险控制管理中心负责审核,分配方案报营销委员会备案。
对于相关人员未能履行职责,影响项目按期交付的,将按照六时点工作法的规定进行处罚。风险控制管理中心负责拟定处罚意见,报营销委员会批准后执行。
第五章 附则
本办法由公司信息中心负责解释。
本办法自发布之日起执行。
参考文献
中华人民共和国网络安全法
中华人民共和国数据安全法
中华人民共和国个人信息保护法
关键信息基础设施安全保护条例
GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型(DSMM)