安全建设管理-(十)服务供应商选择

admin 2022年1月22日16:35:28企业安全评论36 views830字阅读2分46秒阅读模式

安全建设管理


控制点

10.

服务供应商选择

服务供应商可能包括产品提供商、系统集成商、系统咨询商、安全监理商、安全评估测评方等提供各类系统服务的第三方机构。

a)

安全要求(重要):应确保服务供应商的选择符合国家的有关规定。

要求解读:对各类供应商的选择均应符合国家对其的管理要求,例如相关资质管理要求、销售许可要求等。

测评方法

1.访谈系统建设负责人,了解选择服务供应商的方法。

2.核查服务供应商的资质文件。

期望结果

选择的服务供应商符合国家的有关规定。

b)

安全要求(重要):应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。

要求解读:服务提供商所提供服务的质量将直接影响到系统的安全,为了减少或者杜绝这些服务带来新的安全问题,在选择服务商的时候,除了要选择具有相应服务资质的机构,还要以协议或合同方式明确其职责以及后期的服务承诺等。

测评方法

1.访谈系统建设负责人,了解对服务供应商的管控措施。

2.核查服务供应商的服务内容和协议。

期望结果

与服务供应商签订的服务合同或安全责任合同明确了后期的技术支持和服务承诺等内容。

c)

安全要求(一般):应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。

要求解读:对供应商的监督和评审,主要基于与其所签订协议中的网络安全相关条款和条件进行,以验证其所提供服务与协议的符合程度,通过定期评审服务供应商的服务报告,确保其有足够的能力按照可行的工作计划履行其服务职责。

测评方法

1.访谈系统建设负责人,了解是否已对服务供应商进行定期监督、评审和审核。

2.核查对服务供应商的管理规定或要求。

3.核查服务供应商服务报告或服务审核报告。

期望结果

1.服务供应商定期提交安全服务报告。

2.已定期对服务供应商提供的服务进行审核和评价,有服务审核报告。

3.已在服务供应商评价审核管理制度中明确了针对服务供应商的评价指标和考核内容等。

原文始发于微信公众号(网络安全等保测评):安全建设管理-(十)服务供应商选择

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月22日16:35:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  安全建设管理-(十)服务供应商选择 http://cn-sec.com/archives/746421.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: