供应商保密绩效评价体系的构建思路 - 保密网

供应商保密管理不能只靠协议的约束和单次审计来完成，更重要的是把保密管理变成供应商评估体系的一个常规维度。当供应商知道保密表现直接影响自己在企业供应商名录中的评分和更进一步的业务机会时，他们的主动性和配合度会明显不同。

构建供应商保密绩效评价体系，可以帮助企业把保密要求转化为可量化、可比较的管理指标。

评价体系的维度设计可以从五个方面来考虑。

首要个维度是保密制度的完备性，权重可以设定在百分之二十左右。评价的内容包括供应商是否建立了书面的保密管理制度，制度是否覆盖了数据分类、访问控制、人员管理、应急处置等核心领域。供应商是否指定了专职或者兼职的信息安全负责人，信息安全负责人是否有明确的职责授权。

评价方式以供应商提交的制度文件审查为主，结合现场或远程的访谈来确认制度的执行情况。这一维度的评分相对客观，只要供应商愿意配合，大部分信息可以通过文档获取。

第二个维度是保密培训的实施效果，权重百分之十五。评价的内容包括供应商是否定期开展保密培训，培训的覆盖率和频率是否达标，新员工能否在入职后及时完成保密培训。培训的内容是否有针对性，不只是泛泛而谈，还涉及了供应商接触企业信息的具体管理要求。

评价方式可以结合培训记录审查和员工抽样访谈。员工访谈比培训记录更能反映培训的真实效果。比如随机找几位接触企业数据的员工，聊几句保密要求，能不能说出企业信息在处理时的基本要求。能回答上来的，说明培训做到位了。

第三个维度是网络与数据安全的技术防护水平，权重百分之二十五。评价内容包括供应商的网络安全架构是否合理，是否有必要的安全设备和防护措施。数据的加密存储和传输是否落实到位。账号管理和权限控制是否规范。服务器和终端的补丁管理是否及时。

这个维度的评价需要一定的技术能力，企业可以配备IT安全团队来执行，或者委托第三方安全评估机构来完成。评估依据以技术检测和系统配置核查为佐证。

第四个维度是保密事件的记录与处理情况，权重百分之二十五。评价内容包括供应商在过去一年中发生了多少起涉及企业保密信息的轻微事件或者中度事件，处理的方式是否及时和规范。事件发生后是否做了原因分析和整改，整改措施是否有效。

评价方式以供应商的事件记录台账和整改报告为主要依据。这一维度的评价需要一定的延续性，只合作了很短时间的供应商在这一项上数据有限，需要结合供应商自身的内部管理记录来综合判断。

第五个维度是配合度与管理改进意愿，权重百分之十五。评价内容包括供应商对企业提出的保密管理要求的响应速度，是否配合定期的审计和评估，对发现的问题是否愿意整改、整改的效率如何。供应商在保密管理方面是否有主动改进的举措和投入。

评价方式以企业和供应商日常工作往来的实际感受和记录为参考。可以建立供应商保密配合的记录本，把每次沟通、审计、整改中的表现记录下来，作为年终评价的依据。

评价结果的应用可以分几个层次。评分靠前的供应商可以与更深入的合作伙伴关系挂钩，比如优先获得新产品试产机会、获得更快的付款周期。评分达到基准线的供应商正常合作，在下一年度中重点关注评价中暴露的薄弱环节。评分低于基准线的供应商限期整改，整改不达标的逐步减少订单直至终止合作。

供应商保密绩效评价体系的建立需要时间，也离不开供应商的理解和配合。但一旦运行起来，对供应商的保密管理推动是持续的、可预期的，比每次靠审计来施加压力要有效得多。