安全建设管理-(十)服务供应商选择
安全建设管理
控制点
10.服务供应商选择
服务供应商可能包括产品提供商、系统集成商、系统咨询商、安全监理商、安全评估测评方等提供各类系统服务的第三方机构。
a)
安全要求(重要):应确保服务供应商的选择符合国家的有关规定。
要求解读:对各类供应商的选择均应符合国家对其的管理要求,例如相关资质管理要求、销售许可要求等。
测评方法
1.访谈系统建设负责人,了解选择服务供应商的方法。
2.核查服务供应商的资质文件。
期望结果
选择的服务供应商符合国家的有关规定。
b)
安全要求(重要):应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。
要求解读:服务提供商所提供服务的质量将直接影响到系统的安全,为了减少或者杜绝这些服务带来新的安全问题,在选择服务商的时候,除了要选择具有相应服务资质的机构,还要以协议或合同方式明确其职责以及后期的服务承诺等。
测评方法
1.访谈系统建设负责人,了解对服务供应商的管控措施。
2.核查服务供应商的服务内容和协议。
期望结果
与服务供应商签订的服务合同或安全责任合同明确了后期的技术支持和服务承诺等内容。
c)
安全要求(一般):应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。
要求解读:对供应商的监督和评审,主要基于与其所签订协议中的网络安全相关条款和条件进行,以验证其所提供服务与协议的符合程度,通过定期评审服务供应商的服务报告,确保其有足够的能力按照可行的工作计划履行其服务职责。
测评方法
1.访谈系统建设负责人,了解是否已对服务供应商进行定期监督、评审和审核。
2.核查对服务供应商的管理规定或要求。
3.核查服务供应商服务报告或服务审核报告。
期望结果
1.服务供应商定期提交安全服务报告。
2.已定期对服务供应商提供的服务进行审核和评价,有服务审核报告。
3.已在服务供应商评价审核管理制度中明确了针对服务供应商的评价指标和考核内容等。