HYK-MS-207 供应商管理程序.docVIP

第PAGE\*Arabic11页共NUMPAGES\*Arabic11页

第PAGE\*Arabic1页共NUMPAGES\*Arabic11页

深圳市企启信息科技有限公司

供应商管理程序

文档编号：HYK-MS-207

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u309381.目的 4

278342.范围 4

253313.职责 4

299994.相关文件 5

246895.供应商管理 5

303915.1供应商推荐 5

127875.2供应商的初审 5

131935.3供应商的复审 6

196095.4供应商的权利和义务 6

166135.5供应商的分类 6

68455.6供应商的监督和处罚 7

187975.7供应商的定期评价 8

100855.8供应商的分级 8

131405.9供应商的退出 9

128496.信息技术服务约定 10

207486.1外部供应商 10

224876.2内部供应商 10

144216.3供应商评价 11

70206.4合同管理 11

314576.5衡量指标 12

161397.记录 12

1.目的

为提高供应商管理水平，保证采购服务质量和公司信息和隐私安全控制，优化采购方式，防范采购风险，规范对内外部供应商的管理，以确保能够为客户提供无缝的、高质量的服务，制定本程序。

2.范围

适用于公司的ISMS和PIMS管辖范围内的供应商的管理，IT供应商（外包方、投标方）入围、合作等过程的管理。

有下列情形之一的采购行为不适合本程序：

因不可抗力的自然灾害等意外事故因素，经本公司直接批准的紧急采购任务；

由总经理及其专门委员会、监事会及其专门委员会及外部监事直接指定或委任中介机构的采购活动；

国家行政机关、监管机构已明确指定供应商，并规定了相关收费标准的采购活动；

在特殊情况下，经总经理授权批准的其他采购任务。

3.职责

3.1行政部负责供应商的管理工作，包括供应商档案的建立档、更新，从商务角度对供应商进行评价，结合各部门对供应商的评价进行综合评价。

3.2行政部负责定期评价供应商及供应商项目人员在项目内的工作情况，负责供应商参与项目人员的管理及其所需资源的协调。

3.3角色管理职责：

角色

职责

工作任务

交付物

部门经理

负责管理所负责项目的供应商

负责与本项目的供应商签订合同和协议。与供应商的关系应清晰记录到《供方评定表》

项目执行过程中至少进行一次合同和协议的检查，确保业务需求与合同条款相符。

定期监控和检查服务的执行情况，或每季度进行一次供应商评价

汇总《供方评定表》

《供方评定表》

工程师

综合评价各供应商

审批部门经理提交的供应商合同或协议，以确保与供应商签订的合同或协议满足信息技术服务中心业务部门与客户签订的SLA要求

《供方评定表》

4.相关文件

《HYK-MS-207-S01外包管理规定》

《HYK-MS-207-S02供应商管理规定》

《HYK-MS-207-S03供方评价准则》

5.供应商安全要求

5.1供应商关系中的信息安全

5.1.1信息安全策略

行政部建立《HYK-MS-207-S01外包管理规定》、《HYK-MS-207-S02供应商管理规定》来识别和落实信息安全控制，以专门解决供应商访问组织信息的问题，包括：

识别并记录组织允许访问其信息的供应商类型，如IT服务、物流、金融服务、IT基础设施组件；

用于管理供应商关系的标准化过程和生命周期；

确定不同类型供应商被允许的信息访问类型，并对信息访问进行监视和控制；

将各类信息和各类访问的最低信息安全要求作为单个供应商协议的基础，该协议基于组织的业务需求和要求及其风险状况；

对各类供应商和各类访问遵守所建立的信息安全要求进行监视的过程和规程，包括第三方评审和产品确认；

准确和完备的控制，以确保任何一方所提供的信息或信息处理的完整性；

可用于供应商保护组织信息的义务类型；

处理与供应商访问相关的事件和应急状况，包括组织和供应商的双方责任；

恢复力，必要时，恢复和应急安排以确保任何一方提供的信息或信息处理的可用性；

对参与采购的组织人员进行适用的策略、过程和规程的意识培训；

对与供