1、供供应应商商信信息息安安全全管管理理体体系系自自检检表表1、信信息息安安全全体体系系序号#评分内容Requirements得分Score评分备注 Scoringremarks证据要求 Evidence 流程文件 执行记录1.1供应商是否制定信息安全管理的相关方针、政策、制度并实施?2有制定如计算机信息保密制度、指纹门禁等 政策或制度文件 执行记录1.2供应商是否建立信息安全管理组织并例行运作?如:建立信息安全委员会,包括高层领导、各部相关主管、信息安全部或专兼职信息安全专家(员)等。2有制定资安组织架构,有相关运作记录。组织任命文件 组织运作记录1.3供应商是否制定信息安全规范及违规处罚条例并
2、实施?2员工手册上有相关处罚条例 规范及违规处罚条例 检查记录1.4供应商是否对信息资产进行密级划分,如绝秘、机密、秘密、内部公开、外部公开等,并进行分级管理?信息资产获取和使用是否严格执行“工作相关、最小授权、审批受控和不信任原则”?2有分级,针对文件与计算机网络、USB接口等进行管控。信息资产管理文件1.5供应商是否通过第三方ISO 27001信息安全体系认证?2无 证书扫描件1.6供应商是否定期组织信息安全内部稽查,并针对发现的问题进行改善?2不够完善 稽查报告、改善计划及问题关闭情况总得分Subtotal 12合规性Compliance%100.00%2、信信息息安安全全协协议议序号#
3、评分内容Requirements得分Score评分备注 Scoringremarks证据要求 Evidence 流程文件 执行记录2.1供应商是否与*签暑(Non-Disclosure Agreement)协议?2暂无 已签署的NDA协议扫描件2.2供应商是否将NDA协议条款融入到信息安全管理制度、规范中?2 管理制度、规范2.3供应商是否与员工签署信息安全保密协议?保密协议须包含违约处罚及追究刑事责任等条款。2有签订员工保密协议、专案保密协议 关键岗位员工专项保密协议扫描件 普通员工通用版保密协议扫描件总得分Subtotal6合规性Compliance%100.00%3、人人员员管管理理序号
4、#评分内容Requirements得分Score评分备注 Scoringremarks证据要求 Evidence 流程文件 执行记录3.1供应商是否建立关键岗位人员清单?包括但不限于姓名、信用等级、IT权限、保密协议签署、岗前培训等。2 关键岗位人员清单3.2供应商是否建立关键岗位信息安全管理细则?2 管理文件3.3供应商负责*项目的人员不得参与*竞争对手的项目。2 管理文件3.4供应商招聘关键岗位人员是否进行了信用度审查?包括但不限于背景调查、诚信记录、入职动机、工作稳定性等。2 信用度审查记录3.5供应商是否对新员工进行信息安全入职培训?包括但不限于信息安全制度、规范,员工保密协议内容等。
5、2 培训教材 培训记录3.6供应商是否例行组织在职员工的信息安全培训和宣传?2 培训教材 宣传材料 培训记录3.7供应商是否对关键岗位人员进行信息安全例行检查,并针对发现的问题进行改善?2 检查CheckList 检查结果及改善记录3.8供应商在关键岗位人员离职前,是否安排一个月脱密期?是否及时收回信息资产及IT权限?是否进行日志审计?2 管理文件 离职人员信息确认表 审计记录3.9供应商是否禁止关键岗位人员与无关人员谈论或泄露*项目信息?2针对可能会接触产品或者产品信息人员签订保密协议 管理文件3.10供应商是否建立外来人员管理要求?来访人员是否登记备案?2有程序文件、门禁管制制度、来宾管理
6、程序 管理文件 来访人员登记记录总得分Subtotal20合规性Compliance%100.00%4、物物理理安安全全序号#评分内容Requirements得分Score评分备注 Scoringremarks证据要求 Evidence 流程文件 执行记录4.1供应商是否建立*专区或物理隔离区?2 专区或物理隔离区照片4.2供应商是否在*专区或物理隔离区设置门禁、摄像头和保安员?2 区域门禁、摄像头、保安员照片4.3供应商进入*专区或物理隔离区的人员是否佩带身份标识卡?2 身份标识卡照片4.4供应商是否在*专区或物理隔离区门口标识“*专区,无关人员禁止进入”?2 区域标识照片4.5供应商是否禁
7、止*竞争对手参观*专区或物理隔离区?2 管理文件4.6未经*采购信息安全主管授权,禁止在*专区或物理隔离区拍照、录像。2 管理文件4.7*专区或物理隔离区是否使用独立的IT系统?包括服务器、计算机、存储介质及访问控制等。2 管理文件4.8供应商的服务器机房是否安装防火、防水及报警等装置?2 机房照片(标识各装置位置)总得分Subtotal16合规性Compliance%100.00%5、IT管管理理序号#评分内容Requirements得分Score评分备注 Scoringremarks证据要求 Evidence 流程文件 执行记录5.1供应商是否建立IT系统信息安全管理要求?包括IT权限、计
8、算机、服务器、存储介质、机房等管理。2有相关文件 IT系统信息安全管理要求5.2供应商是否通过IT手段禁用USB口、外网访问和邮件外发?特殊情况使用,是否经过业务及信息安全主管审批?2有文件管控及实际管控 IT控制措施 审批记录5.3供应商是否通过IT技术手段监控所有计算机的USB口、光驱、硬盘、网口以及邮件发送、外网访问等?2通过企业端可监控和控制 监控截图5.4供应商计算机是否设置开机密码、域密码、屏保密码等?密码复杂度是否符合要求?2电脑依个人设置个人账户及密码,离开电脑旁需锁定电脑屏幕。管理文件5.5供应商计算机是否设置自动屏保?屏保启动时间是否小于10分钟?2设置电脑密码、离开电脑需
9、锁定电脑屏幕。管理文件5.6供应商服务器或公共盘是否设置访问权限?开通权限是否经过业务及信息安全主管批准?2网络权限申请单,经信息主管审核、总经理批准。权限清单 审批记录5.7供应商是否有两个以上IT系统管理员并使用独立帐号和密码?所有人员的帐号和密码严禁转借或扩散。2电脑依个人设置个人账户及密码 管理文件5.8供应商服务器是否异地适时备份?2服务器有定期备份。备份机制 备份记录截图5.9供应商计算机、服务器或存储设备,停止使用或用作它用前是否进行低级格式化?2所有办公电脑在更换用途时会将数据备份,然后格式化。管理文件 低格记录5.10供应商关键岗位是否禁止使用便携机?台式机机箱是否加锁?2所
10、有人员不得携带个人计算机进入公司。公司计算机不得出公司。管理文件 加锁照片总得分Subtotal20合规性Compliance%100.00%6、文文档档下下载载序号#评分内容Requirements得分Score评分备注 Scoringremarks证据要求 Evidence 流程文件 执行记录6.1供应商下载*文档的计算机是否使用专用台式机?是否使用固定IP和MAC地址绑定并申报*备案?2 管理文件 固定IP和MAC地址对应表6.2供应商是否指定专员负责*文档接收和下载?专员是否有备份?专员及备份人员个人信息是否报*备案?2 专员信息表6.3供应商下载*文档的专员是否签暑专项保密协议?是否
11、通过信用度审查?是否从内部调配经过23年考验、稳定性好、诚信度高、规范严谨的员工担任?2 保密协议扫描件 信用度审查记录扫描件6.4供应商接收和下载的*文档是否存放在指定的服务器或公共盘?是否禁止通过内部邮件、可移动存储设备方式传递*文档?2 管理文件 服务器或公共盘名称或截图6.5供应商存放*文档的服务器和公共盘是否设置访问权限?是否确保只有负责*文档转换或工程设计的人员可以访问?2 权限清单6.6供应商接收和下载的*文档是否建立清单?是否按照产品结构齐套保存?2*文档清单总得分Subtotal12合规性Compliance%100.00%7、文文档档转转换换序号#评分内容Requireme
12、nts得分Score评分备注 Scoringremarks证据要求 Evidence 流程文件 执行记录7.1供应商是否建立*文档转换与设计人员信息安全要求及内部文件传递规范?2文档转换与设计人员信息安全要求内部文件传递规范7.2供应商*文档转换与设计区域是否安装门禁、摄像头?2 区域门禁、摄像头照片7.3供应商转换后的文档是否无*LOGO?2 管理文件7.4供应商转换后的文档是否通过服务器或公共盘开放权限传递给文控中心?禁止通过内部邮件、移动存储设备传递文档。2 管理文件 服务器或公共盘名称或截图7.5供应商负责*文档转换与设计的工程师是否签暑专项保密协议?是否通过信用度审查?2 保密协议扫
13、描件 信用度审查记录扫描件7.6供应商是否禁止打印文件?特殊情况打印,是否经过业务及信息安全主管审批?2 管理文件总得分Subtotal12合规性Compliance%100.00%8、文文控控中中心心序号#评分内容Requirements得分Score评分备注 Scoringremarks证据要求 Evidence 流程文件 执行记录8.1供应商是否建立文件管理规定及文控人员信息安全管理要求?2 文件管理规定 文控人员管理要求8.2供应商文控中心是否设置专区、专柜、专人管理?是否安装门禁、摄像头?2 文控中心专区、专柜、门禁、摄像头照片8.3供应商与*项目相关的文档是否按照机密文件进行管理?
14、2 管理文件8.4供应商的纸件文档的发放、查阅是否进行登记?登记记录是否最少保存一年?2 文档发放、借阅登记记录8.5供应商因产品停止生产或版本切换等原因将要“作废”的文件是否进行回收并保留回收记录?2 文件回收记录总得分Subtotal10合规性Compliance%100.00%9、生生产产区区域域序号#评分内容Requirements得分Score评分备注 Scoringremarks证据要求 Evidence 流程文件 执行记录9.1供应商生产区域是否制定信息安全管理要求并明确传达到每一个人?2有制定3级安保措施、针对不同等级的区域采取不同保密等级规定,并以通告、邮件等发布。生产区域信
15、息安全管理规定 宣传或培训记录9.2供应商生产区域是否安装门禁、摄像头并配置保安人员?2重要区域均配置摄像头、并保存三个月,配置安保人员 生产区域门禁、摄像头、保安人员照片9.3供应商生产区域的纸件文件存放是否配备专用文件柜?2针对保密信息均配置专用文件柜,由专人管理。专用文件柜照片9.4供应商所有报废品是否销毁并保留销毁记录?2报废品在未得到客户或公司有权限主管签字确认不得自行报废,保管在相关区域并进行监控。管理文件 废品处理记录9.5供应商生产厂区内是否禁止*字样的标识?建议使用内部代码。2客户的代码会转换为公司内部代码 管理文件总得分Subtotal10合规性Compliance%100.00%