供应商准入阶段的信息安全尽职调查清单 - 保密网

供应商准入审查是供应链保密管理的首要道关卡。在供应商正式开始合作之前，把信息安全状况了解清楚，把管理要求约定清楚，后续的保密管理工作会顺畅很多。如果在准入阶段就放过了管理能力薄弱的供应商，后续的保密管理只会越来越吃力。

我结合为多家企业设计供应商信息安全准入标准的实践，整理了一份实用的信息安全尽职调查清单。

首要部分是供应商的基本信息安全制度。调查的内容包括供应商是否有正式的信息安全管理制度文件，制度是否明确了信息安全责任人和组织架构。供应商是否有成文的数据分类与保密管理制度。供应商是否有信息安全事件应急响应预案。供应商是否定期开展信息安全培训和员工保密教育。

对这些问题的回答，需要提供书面的制度文件副本作为佐证。不能只听口头承诺，文件的完整性和时效性都是可以验证的。

第二部分是供应商的网络安全防护能力。调查的内容包括供应商的网络是否做了基本的安全隔离，是否部署了防火墙、入侵检测等网络安全设备。供应商的服务器和终端设备是否使用了杀毒软件，更新的频率和策略是怎么样的。供应商是否有定期的漏洞扫描和修复流程，扫描报告是否有历史记录可以查阅。供应商的无线网络是否启用了加密和访问认证。

这一部分的验证可以通过要求供应商提供网络拓扑图、安全设备清单和近期的安全扫描报告来完成。对于网络安全管理要求较高的项目，可以安排远程技术验证。

第三部分是供应商的人员与访问管理。调查的内容包括供应商是否有规范的员工入职信息安全告知流程，入职员工是否签署信息安全和保密承诺。供应商的员工账号管理制度是否完善，是否有明确的账号开通、变更、注销流程。供应商对内部员工的访问权限是否做了分级和最小授权，特权账号的管理是否有严格的限制。供应商是否对离职员工的信息安全做最后的确认，账号是否在员工离职当天或次日完成注销。

这一部分的调查建议结合现场访谈和系统抽查来验证。只看制度文件远远不够，可以抽查几个离职员工的账号注销时间，看是否真的做到了及时清理。

第四部分是供应商的数据保护和加密实践。调查的内容包括供应商存储企业数据的系统是否启用了加密保护，加密的标准和密钥管理方式。供应商在传输敏感数据时是否使用了加密通道或加密文件。供应商的备份数据是否同样按照加密要求管理，备份的存储和传输是否有加密措施。供应商是否有数据保留和销毁的制度，数据的保留期限是否合理。

需要供应商提供数据加密的技术说明文档，了解加密算法的使用情况和密钥管理的具体操作流程。

第五部分是供应商的物理安全和设备管理。调查的内容包括供应商存放企业数据的机房或服务器区域是否有物理访问控制，门禁和监控措施是否到位。供应商的员工是否被允许将企业数据带到办公场所以外的环境使用，或者是否有明确的规范限制。供应商对移动存储介质的使用是否有禁令或者审批流程。供应商对废弃设备和废弃介质的处理是否有信息清除流程。

物理安全部分可以通过现场参观和实地观察来做基本的判断。机房上锁了没有，门禁卡是否需要授权，监控摄像头能不能覆盖关键区域，这些都是可以直观观察的。

第六部分是供应商的外部合规和认证。调查的内容包括供应商是否获得过信息安全管理相关的体系认证。供应商是否接受过客户的信息安全审计，或者是否被其他合作伙伴评估过信息安全水平。供应商在过去的时间内是否发生过信息安全事件，事件的原因和处理结果是什么。

资质认证可以要求查看证书原件或官方认证中心可查询的证书编号。历史事件的了解则要靠供应商自行说明和侧面了解。

供应商准入阶段的信息安全尽职调查体现了对供应商管理的认真态度。对调查中发现的风险项，在后续的合作协议和保密条款中做针对性约束，把风险控制在前端。