产品采购安全管理制度
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
修订说明
- 烟台王较瘦 第一次编写 2022/5/1
- 思安 修订 2023/6/1
第一章 总则
第一条 目的
为了加强北京思度文库股份有限公司(以下简称“公司”) 产品采购管理,指导产品采购合同签订和实施过程监督管理,防范和控制公司产品采购的信息安全风险,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》特制定本制度。
第二条 适用范围
本制度适用于公司产品采购的过程。
第二章 术语定义
第三条 产品采购
指公司对外购买软硬件产品,用于公司的信息化建设。
第四条 供应商
是指公司提供软硬件产品,或承接公司IT工作的企业。
第三章 岗位职责
第五条 采购管理部门
负责管理符合公司要求的IT产品与服务供应商。
第六条 产品管理部门
负责产品采购服务协议的内容制订和合同签订,负责在项目执行过程中对供应商人员和服务进行监督。
第四章 采购要求
第七条 供应商的选择
(一) 采购管理部门在对供应商进行评估和选择时应考虑供应商的信息安全资质,审核供应商资质信息真实性: (二) 供应商提供的产品和服务是否符合国家法律法规和各级监管机构的监管要求,并且经过公司审批供应商是否有信息安全违规事件历史; (三) 采购管理部门及时根据实际情况维护和更新供应商清单。
第八条 合同签订
(一) 管理部门与供应商签订合同时,应注意以下内容: (二) 应要求供应商对外包服务人员进行背景调查,并对调查结果负责; (三) 应有明确的保密条款,或包含《保密承诺函》作为合同附件。必要时还应要求外包人员签署保密承诺; (四) 应要求供应商遵守公司各项相关的管理规定; (五) 应明确项目过程中的信息安全管理要求,尤其是出现信息安全相关问题时,对处理措施和流程的要求,如异常事件的处理流程、响应机制等; (六) 应明确项目最终交付物要达到的安全标准,如信息系统的安全功能,服务的连续性等,并将此作为验收的内容之一; (七) 应明确供应商所提供产品及相关服务的知识产权归属。
第九条 实施过程管理
(一) 实施过程中,管理部门应监督供应商在服务执行过程中对信息安全要求的遵从情况,对于违反信息安全要求的行为应及时进行纠正。情节严重者还应及时通知采购部门,作为采购部门考核供应商的参考依据。 (二) 管理部门应定期对IT采购存在的风险进行评估,并对高风险情况采取控制措施。可能的风险包括但不限于:软件开发的安全漏洞;知识产权的非法转移;为公司提供服务的关键技术人员的变动;未经许可将服务转包或分包。
第十条 驻场外包人员管理
管理部门应安排专人负责驻场外包人员的安全管理,对驻场外包人员的信息安全行为进行监督管理,包括但不限于: (一) 要求外包人员遵从公司信息安全管理要求; (二) 明确外包人员的工作职责,采取相应措施限制其对非授权信息资源的访问权限; (三) 限定驻场外包人员的工作区域,未经授权不得随意访问其他区域; (四) 限定驻场外包人员的工作时间,如需在非工作时段驻场工作,需要提前进行申请,并经过相关管理部门批准后方可进行。
第五章 附则
本制度是公司安全部制定,负责解释和修订。 本制度从2023年8月1日开始实施。