07王忠惠-基于供應商安全能力考核的供應商評估體系（初稿）.pdf

《07王忠惠-基于供應商安全能力考核的供應商評估體系（初稿）.pdf》由會員分享，可在線閱讀，更多相關《07王忠惠-基于供應商安全能力考核的供應商評估體系（初稿）.pdf（17頁珍藏版）》請在三個皮匠報告上搜索。

1、基于供應商安全能力考核的供應商評估體系供應商安全評估實務千尋位置 王忠惠企業面對的供應鏈安全現狀01供應鏈風險分類及安全要求02供應商的選擇與評估流程03供應商安全能力考核04企業供應鏈安全展望05安全威脅不止開源軟件供應鏈安全管理的不足供應商審查缺少全面的審查流程，或無深入評估安全實力和合規性透明度管理不了解供應鏈的運作，未準確識別合作伙伴導致的風險漏洞與響應不及時的漏洞檢測、通知和修補，不健全的應急響應計劃意識與合規安全意識不一致，未能充分掌握合規性要求，潛在監管企業面對的供應鏈安全現狀01供應鏈風險分類及安全要求02供應商的選擇與評估流程03供應商安全能力考核04企業供應鏈安全展望05潛

2、在的安全風險技 術 漏 洞人 員 意 識法 律 不 合 規原 型 保 護安全功能不足隱私設計缺失數據保護不到位后門及惡意邏輯網絡防御匱乏社會學攻擊安全意識競對竊取商業泄密缺失NDA責任條款模糊違背法律無關鍵人員清單無物理安全措施無監控保護無 事 件 告 知 和 恢復業 務 中 斷經營水平差安全能力差易被黑客掌握如何理解供應鏈安全要求ISO信息安全標準體系n 供應商評估活動n 供應鏈分析管理n 個人信息影響評估n 信息共享和傳遞n 供應鏈審計網絡安全法及相關法律n 安全管理責任n 開展安全評估n 個人信息保護n 重要數據出境n 事件應急處置等保、密評、關保等測評n 供應鏈安全n 應急響應能力n

3、供應商管理213企業面對的供應鏈安全現狀01供應鏈風險分類及安全要求02供應商的選擇與評估流程03供應商安全能力考核04企業供應鏈安全展望05供應商的選擇關鍵技術關鍵服務技術來源OpenAPI定制性先進性可靠性研發人員服務人員及時性最低的需求點最嚴格的要求避免迷魂湯行業影響力同行評價用戶交流公開性事件公司管理文化公司安全文化安全管理體系隱私保護體系產品服務質量SLA承諾責任及賠償保密性低成本業 務 匹 配口 碑 聲 譽透 明 度技 術 能 力體 系 認 證商 務 條 款供應商準入管理0404準入采購分析供應商招募供應商資質審查退出供應商分類供應商替代或淘汰尋 源招投標競價與選擇三方尋源過 程

4、管 控合作執行交付監控風險追蹤綜 合 評 估綜合能力考核供應商能力培訓改進供應商質量提升供應商能力賦能01010606050503030202開展評估的時機01準入項目立項需求評審確認標準0202過程資質認證測試驗證交付審核0303定期培訓評估考核0404改進評級提升問題追蹤企業面對的供應鏈安全現狀01供應鏈風險分類及安全要求02供應商的選擇與評估流程03供應商安全能力考核04企業供應鏈安全展望05供應商安全能力考核體系01合約協議N D A、安 全 責 任 書、數 據 處 理 協 議、隱 私 保 護 協 議、落 實 情 況02體系認證安 全 體 系 認 證、網 絡 數 據 安 全 體 系、年

5、 度 安 全 計 劃、安 全 機 構 和 執 行 記 錄03研發安全產 品 安 全 基 線、S D L 過 程、滲 透 測 試、安 全 控 制 機 制 證 明、數 據 流 圖、日 志04質量測試問 題 管 理、接 口 和 中 間 件 清 單、私 有 協 議 識 別、測 試 覆 蓋 與 回 歸05軟件供應鏈商 業 軟 件、開 源 軟 件、組 件 合 規 清 單、版 本 管 控 機 制06安全生產穩 定 性 管 理、安 全 管 理 活 動、上 線 安 全 卡 發07交付安全交 付 物 安 全 管 控、完 整 性 和 版 本 管 控、數 據 安 全 活 動、作 業 記 錄、事 件 響 應08隱私保護

6、隱 私 保 護 政 策、個 人 信 息 影 響 性 分 析、隱 私 培 訓、數 據 出 境、獎 懲09漏洞應急S R C、漏 洞 披 露、漏 洞 定 級 處 置、漏 洞 響 應 流 程10審計溯源臺 賬11人員管理人 員 招 聘 周 期 管 控、關 鍵 人 員 崗 位 識 別12原型保護商 業 保 密 機 制考核與監督的挑戰培訓培訓賦能賦能退出退出企業面對的供應鏈安全現狀01供應鏈風險分類及安全要求02供應商的選擇與評估流程03供應商安全能力考核04企業供應鏈安全展望05供應鏈安全展望數字化轉型AIGC智能化有利于探索供應鏈風險供應商能力成熟度測評及服務專業機構提供數字安全透明性，跨界協同機制THANKS