当前位置:文档之家 › 供应商信息安全风险评估检查表

供应商信息安全风险评估检查表

  • 格式:xlsx
  • 大小:18.94 KB
  • 文档页数:12

下载文档原格式

  / 12

合集下载

供应商安全检查表(新版)

供应商安全检查表(新版)

供应商安全检查表(新版)
检查对象
本检查表适用于所有公司采购的供应商。

检查目的
通过此检查表,评估供应商是否符合我们公司的安全要求,确保货物的质量和员工的安全。

检查标准
1. 供应商是否有安全管理制度及是否有效执行
2. 供应商是否对员工进行过必要的安全培训
3. 供应商在货物生产、储存、运输过程中是否有安全措施,如有,是否合法合规
4. 供应商是否配备必要的消防设备及相应人员
5. 安全生产记录是否完整
6. 供应商是否有突发事件应急预案及组织是否有效
7. 供应商在经营过程中是否存在安全隐患,如有,则列出并责
令整改
8. 其他必要的安全检查
检查流程
1. 安排专人负责此次检查,并按照检查标准进行检查。

2. 如发现不符合安全要求的问题,及时向供应商提出整改要求,并告知整改时限。

3. 整改完成后,再次检查并确认整改是否到位。

检查结果
1. 供应商安全检查合格:经过检查,发现供应商符合本检查表
的安全要求。

2. 供应商安全检查不合格:经过检查,发现供应商存在不符合
本检查表的安全要求的问题,要求供应商立即整改,并在整改期限
内重新进行安全检查。

结论
为确保我们公司的安全生产和相关人员的安全,所有采购的供应商必须按照《供应商安全检查表(新版)》进行安全检查,对于存在安全隐患的供应商,本公司将坚决拒绝合作。

供应商风险评估表

供应商风险评估表

供应商风险评估表1.供应商信息供应商名称:(填写供应商公司名称)供应商类型:(填写供应商类型,如生产商、批发商、代理商等)供应商联系人:(填写供应商联系人姓名)供应商联系方式:(填写供应商联系人电话、邮箱等联系方式)供应商注册地:(填写供应商公司注册地)供应商经营范围:(填写供应商主营业务范围)2.供应商风险评估指标2.1 财务状况资产负债表:评估供应商的资产负债状况,包括流动资产、固定资产、短期负债和长期负债等。

利润表:评估供应商的盈利能力,包括净利润、销售收入、成本费用等。

2.2 经营能力历史业绩:评估供应商的过去业绩,包括交付按时、产品质量、客户评价等。

供应链管理:评估供应商的供应链管理能力,包括物流配送、库存管理、风险控制等。

知识产权保护:评估供应商对知识产权的保护措施,包括专利申请、商标注册等。

2.3 法律合规企业注册信息:评估供应商的企业注册信息,包括注册时间、注册资本、法定代表人等。

证照齐全:评估供应商的营业执照、税务登记证、组织机构代码证等是否齐全有效。

合规标准:评估供应商是否符合国家法律法规以及行业规范的要求。

2.4 风险评估等级根据以上评估指标的综合评价,将供应商风险分级为高风险、中风险和低风险。

3.结论及建议根据供应商风险评估结果,可以向上级领导提出以下建议:1.对高风险供应商加强监控和管理,采取相应的风险控制措施。

2.对中风险供应商进行风险防范措施,加强供应商的监督和评估。

3.对低风险供应商保持正常合作关系,并在必要时进行定期评估。

4.风险评估报告编制人填写报告编制人姓名、联系方式)备注:风险评估表的内容仅供参考,具体评估指标和风险等级可根据实际情况进行调整和完善。

供应商信息安全审核检查表

供应商信息安全审核检查表


委托
14
是否对操作系统补丁安装情况

15
是否对网站服务器系统及应用系统补丁安装情况

16
释放有对防病毒软件升级情况?

17
是否有网页防篡改措施?

18
是否有边界保护措施?

19
是否有抗拒服务攻击措施?

20
是否保留了系统安全日志?

21
是否对移动设备带来的风险有措施?

22
是否有措施对远程办公时信息的访问、处理和存储的安全隐 患?

6
网站名称、域名是否安全?

7
网站安全等级保护等级?
二级
8
网站主机服务器运行维护管理方式?
√自行
9
是否对安全规章制度进行了梳理?

10
是否有明确网络安全责任处罚规定?

11
是否对安全防护措施进行了评估?

网络安全
12
如果开展了安全防护措施评估?评估的结果是?

有资料,评估无风险
13
本年度是否开展了网络安全风险评估和等级测评?

37
员工有对聘用终止或变更的资产归还要求?

38
是否有外包厂终止合作或变更的资产归还要求?

39
所有的资产是否有固定的编号标识和使用要求?

ISMS-HD-P-12-05 版本:A
序 号
类别
审核内容事项(提问+检查)
40
对于办公区域进行安装了门禁或密钥?
判定结论(对方列打“√”)
满足
轻微满足
不满足
47
供应商信息安全检查表

供应商信息安全检查表


总得分
合规性
8.1 供应商生产区域须制定信息安全管理要求并明确传达到每一个人。
8.2 供应商生产区域须安装门禁、摄像头并配置保安人员。
生产 区域
8.3 供应商生产区域的纸件文件存放须配备专用文件柜。 8.4 供应商所有报废品须销毁并保留销毁记录。
8.5 供应商生产厂区内须禁止威灵字样的标识,建议使用内部代码。
2.1 供应商是否与威灵签暑NDA(Non-Disclosure Agreement)协议?
信息 安全 协议
2.2 供应商是否将NDA协议条款融入到信息安全管理制度、规范中?
2.3
供应商是否与员工签署信息安全保密协议?保密协议须包含违约处罚及 追究刑事责任等条款。
总得分 合规性
3.1
供应商是否建立关键岗位人员清单?包括但不限于姓名、信用等级、IT 权限、保密协议签署、岗前培训等。
3.2 供应商是否建立关键岗位信息安全管理细则?
3.3 供应商负责威灵项目的人员不得参与威灵竞争对手的项目。
人员 管理
3.4
供应商招聘关键岗位人员须进行了信用度审查,包括但不限于背景调查 、诚信记录、入职动机、工作稳定性等。
3.5
供应商须对新员工进行信息安全入职培训,包括但不限于信息安全制度 、规范,员工保密协议内容等。
总得分 合规性
保密协议扫描件 信用度审查记录扫描件 0 0.00%
文件管理规定 文控人员管理要求
文控中心专区、专柜、 门禁、摄像头照片
管理文件
有文档发放,传阅登记 文档发放、借阅登记记
记录

文件回收记录
0 0.00%
生产区域信息安全管理 规定 宣传或培训记录
生产区域门禁、摄像头 、保安人员照片
供应商风险评估表

供应商风险评估表


GP 7.4.04 F4, Rev. A 29-Sep-03
1
Assessment Checklist
some evidence exists process documented & evidence of use innovative, exceptional nothing exists or no evidence
GP 7.4.04 F4, Rev. A 29-Sep-03
2
Assessment Checklist
some evidence exists process documented & evidence of use innovative, exceptional nothing exists or no evidence
Goals 目标 Action plans 纠正计划
Documentation 文件化
Control monitors on equipment, Statistical analysis on down time.
对设备监控、停机时间的分析
2. Supplying Location供应场所
Is the supplier new to ArvinMeritor? 对于美驰来说,供应商是新的吗? Is the supplier location new to ArvinMeritor or new to the particular ArvinMeritor division? 供应商的现场对于美驰是新的吗?或者对于美驰的个 别独立场所是新的吗?
7. Historical Problems历史问题
CATEGORIES & QUESTIONS: 分类和提问
供应商风险评估表范例

供应商风险评估表范例

供应商风险评估表范例供应商风险评估表 supplier risk assessment form风险程度Risk degree备注:所有风险评估应基于事实的依据,对于新入册供应商不适用的项目可以按中等风险打分note: All risk evaluation is based on the actual , for new supplier, some item which could not be evalued shall evaluate as middle risk.◇必要时,可对供应商每两年执行1次现场考察或书面审查if necessary, should do on-site visit or writted review every two years.中风险middle risk低风险low risk ◇每批次物料需严格进行检验Each batch of material shall be inspected strictly.◇所有采购材料实时跟踪状态Real-time tracking of all purchasing materials ◇每半年年至少对供应商进行1次实地考察或书面调查one time on-site visit or written review every half a year at least.◇对每批次物料进行检验Each batch of material shall be inspected.◇每年跟踪一至二批材料的供料状态Track of one or two batch of m aterial yearly ◇每年对供应商进行1次实地考察或书面审查one time on-site visit or written review every year ◇对每批次物料进行检验,若供应商的历史交货质量状况良好,可降低抽样检验频率Each batch of material should be inspected, if the supplier's historical delivery quality is in good condition, could reduce the s ampling frequency ◇不跟踪材料的供应状态the supply status of the material is not tracked 评估结论:评估分值在15分以下为低风险,15-30分范围内为中等风险,30分以上为高风险(代理商得分5分以下为低风险,5-8分为中风险,8分以上为高风险)evaluation result: low risk when the evaluated score not more than 15, middle risk when the evaluated score between 15-30, high risk when the evaluated score more than 30(agents scoring 5 point or less is low risk, 5-8 is middle risk, 8 or more is high risk)高风险High risk管理措施Management method 备注:代理商仅考虑商务风险、物流风险和交货风险,不考虑其质量风险。

供应商风险评估表范例

供应商风险评估表范例

供应商风险评估表 supplier risk assessment form风险程度Risk degree备注:所有风险评估应基于事实的依据,对于新入册供应商不适用的项目可以按中等风险打分note: All risk evaluation is based on the actual , for new supplier, some item which could not be evalued shall evaluate as middle risk.◇必要时,可对供应商每两年执行1次现场考察或书面审查 if necessary, should do on-site visit or writted review every two years.中风险middle risk低风险low risk ◇每批次物料需严格进行检验 Each batch of material shall be inspected strictly.◇所有采购材料实时跟踪状态 Real-time tracking of all purchasing materials ◇每半年年至少对供应商进行1次实地考察或书面调查 one time on-site visit or written review every half a year at least.◇对每批次物料进行检验 Each batch of material shall be inspected.◇每年跟踪一至二批材料的供料状态 Track of one or two batch of material yearly ◇每年对供应商进行1次实地考察或书面审查 one time on-site visit or written review every year ◇对每批次物料进行检验,若供应商的历史交货质量状况良好,可降低抽样检验频率 Each batch of material should be inspected, if the supplier's historical delivery quality is in good condition, could reduce the sampling frequency ◇不跟踪材料的供应状态the supply status of the material is not tracked评估结论:评估分值在15分以下为低风险,15-30分范围内为中等风险,30分以上为高风险(代理商得分5分以下为低风险,5-8分为中风险,8分以上为高风险)evaluation result: low risk when the evaluated score not more than 15, middle risk when the evaluated score between 15-30, high risk when the evaluated score more than 30(agents scoring 5 point or less is low risk, 5-8 is middle risk, 8 or more is high risk)高风险High risk管理措施 Management method 备注:代理商仅考虑商务风险、物流风险和交货风险,不考虑其质量风险。

供应商风险评价表

供应商风险评价表

供应商风险评价表供应商是企业运营中不可或缺的重要环节。

为了确保企业的正常运营和产品质量,必须对供应商进行严格的风险评估。

下面是一个供应商风险评价表,以便企业可以有效地评估和管理其供应链。

供应商基本信息1.供应商名称:2.注册地址:3.企业类型:4.联系人:5.联系电话:6.供应范围:财务风险1.近年来的营业额(年度):2.资产总额:3.净资产:4.毛利润比率:5.利润率:6.流动比率:7.短期债务/长期债务比率:8.预测的财务状况:9.付款保证:生产能力1.产品种类:2.可生产规模:3.生产周期:4.质量管理流程:5.员工数量:6.工作安排:7.基础设施:8.安全生产政策:供应链风险1.以前的合作伙伴:2.贸易合规性:3.仓储物流:4.质量管理系统:5.企业文化和核心价值观:6.健全的品牌声誉:7.可持续性政策:8.紧急情况响应能力:社会责任1.企业社会责任政策:2.道德标准:3.现有认证(ISO 14001,SA8000等):4.环境影响:5.劳动力标准:6.社区责任:7.安全和健康:8.企业报告透明度:总结1.本次风险评估的结论:2.风险指数:3.建议的跟进措施:4.下一步行动计划:以上简单介绍了一个供应商风险评价表。

企业可以根据自己的实际情况对表单进行修改和完善,以确保对供应商进行全面,科学和有效的风险评估。

这可以降低企业与供应商合作的风险,提高合作的效率和质量,为企业未来的发展奠定良好的基础。

供应商风险评估表范例

供应商风险评估表范例

供应商风险评估表产品编号:产品名称:编号提问风险等级说明低中高设计类1 对本工公司来说是新产品吗?不是新产品2 使用新的材料和工艺吗?使用新的材料和工艺3 现行产品的新的应用?是现行产品新的应用4 新的设计概念?是新的设计概念5 有安全/排放/噪音要求吗?有要求6 是否外部工程?有外部工程7 设计是否需要与配合件调配以符合配合、功能或外观要求?需要8 有无应用于其它汽车生产线的计划?有9 有无重大历史/保用的问题?无10 项目进度要求是不是一个问题?无问题11 相对于模拟试验,样品提交的日期是否太迟?周期不长,不影响进度制造类12 新的制造设施?无13 有无新的制造过程?有14 以往是否出现产品投产不顺利的情形?很少15 是否外部制造?部分外协制造16 是否需要对供应商进行评估?部分需要17 是否需要新的生产设备?需要18 是否需要特殊的工装夹具?需要19 是否需要量具或检查辅具以确保产品整体的几何尺寸?需要20 有无潜在的搬运及发运问题?无21 产品是否将不直接从工厂交付,如外部仓库,代理商等?有22 是否需要包装回用?不23 是否需要按准时生产制交付或产品是否需要排序?需要组装类24 产品装配是一个问题吗?需要装配25 是否需要特殊的工装夹具?需要服务类26 有无售后服务的问题?无27 是否需要特殊的维修工具?无其它类28 其它问题无29 其它问题` 无风险评估总结初始风险评估等级(在下列三项中选一项)低风险问题:初始风险评估小组认为对于成功的供应产品风险较低中等风险问题:初始风险评估小组认为在上述一类或多类检查项目中有一个中等程度的问题影响产品的成功供应高风险问题:初始风险评估小组认为在上述一类或多类检查项目中有一个高等级的问题影响产品的成功供应高风险项目:中等风险项目:设计需要与配合件调配以符合性能要求对策:设计需要与配合件调配以符合性能要求对策:通过样件制造进行台架试验,确定设计与过程控制的可行性。

供应商风险评估表

供应商风险评估表

大于项次评审内容风险系数确定分数评估得分没有设置库存机制有设置库存机制,基本合理有设置的库存机制,合理,使用,有效没有库存不足的应急计划有库存不足的应急计划,措施方案基本可行有库存不足的应急计划,措施方案合理,可行未设定交付周期设定交付周期,基本可以及时供货设定交付周期,能够及时供货未制定应急计划有制定应急计划,措施基本可行有制定应急计划,措施可行,有效未制定应急计划有制定应急计划,措施基本可行有制定应急计划,措施可行,有效产能不能满足供货产能基本可以满足供货产能满足供货无基本健全健全无实绩基本稳定实绩稳定无有相关的财务专职人员,但属于兼职有专职的财务专职人员.有,可能对于公司的运营有重大影响有,但不影响公司整体运营无总计得分评估人员:供应商负责人: 小于60分,为高风险供应商,不得选用供应商是否设置安全库存、最低库存、最高库存及库存的报警机制及设置是否合理?是否有库存不足的应急计划?措施方案是否合理可行?备注说明: 大于等于80分 为低风险供应商,可列入合格供应商清单供应商交付周期的设定是否合理?为我司供货产品是否确定交付周期?所确定的交付周期是否满足我方要求?交付周期是否有弹性(留有缩短的空间)?是否有确保按时(100%)交付的应急计划?(临时插单,订单突然增加等因素)产能是否能够保证我司供货需求?(单班产能,日产能,月产能等方面)123465突发事件如台风、停电、洪水、环保不达标停产等有无应对方案措施?公司近期是否重大到期债务要偿还财务状况是否健全?营业实绩及成长是否稳定?营业及获利能力是否保持稳定成长?9 供应商风险评估表供应商名称:供应商地址:供应商评估得分:107是否有相关的财务专职人员8。

供应商风险评估表

供应商风险评估表

供应商的物料管理系统
有无运输经验
是:1分
否:0分
有无规定的运输方式、路线和考试指示
是:1分
否:0分
库存材料是否存储在专用场所
是:Байду номын сангаас分
否:0分
物料是否合理的标识
是:1分
否:0分
生产使用前,是否提前知道物料的检验结果
是:1分
否:0分
为了保证的产品质量,原材料的搬运和存储方式存在
是:1分
否:0分
供应商等级评定表:
否:0分
过去五年中是否由于物料而发生安全事故
是:1分
否:0分
供应商的生产控制系统
有无产品的设计部门
是:1分
否:0分
是否跟踪客户抱怨
是:1分
否:0分
投产前供应商是否通过生产件批准程序
是:1分
否:0分
是否取得ISO14001证书
是:1分
否:0分
是否有证据显示生产控制能力在不断提高
是:1分
否:0分
客户与供应商是否有明确的沟通方式
是:1分
否:0分
过去两年是否发生客户投诉事件
是:1分
否:0分
是否有文件化的程序来控制、校准、和保养检验、测量和试验设备
是:1分
否:0分
对合格品、返工、报废的产品隔离区分
是:1分
否:0分
有无产品的追溯
是:1分
否:0分
是否适当的标识有问题的物料
是:1分
否:0分
操作工是否熟练的掌握生产速度
是:1分
否:0分
是:1分
否:0分
环保意识是否强烈
是:1分
否:0分
生产物料是否含有有毒物质

供应商安全评估检查表


厂内外有没有足够的灯光?
14
Does the facility have hired security guard shifts on duty for 24 hours?
厂内有没有雇用保安员24小时轮班巡逻?
15
Does the facility have an electronic security system?(automatic
工the厂lo是ca否l 有law对e外nf通or信ce系me统n以t a联ut络ho当riti地es的?(执Te法le部ph门on?e (or电al话arm或.网etc络.)平台)
19
Does the facility provide for segregation and marking of international
other law entorcement agencies in cases where anomalies
or illegal activities are detected or suspected by the
company?
当厂内发生任何不寻常事情或不合法的活动,工厂有没有措 施方案联络海关及其他法定治安机关?
厂pro内te有ct没ag有a设ins施t o用ut来sid防e止in不tru获si受on权?(的W人all,s.f车en进ce入s.及win侵d入ow(s 围an墙d 、ga栏te杆s) 、
13
窗Do及es门th)e facility have sufficient lighting inside and outside?
16
aDloaerms sth.seefcaucriiltiytymhearvaesa.entcin)厂te内rna有l c没o有mm装u置ni电ca子tio保n s安ys系te统m,to自c动on警tac钟t 、

供应商风险评估表范本

是:0分
否:1分
得分
供应商名称: 内容 有无运输经验
供应商风险评估表
标准
有无规定运输方式、路线和考核指标
库存材料是否存储在专用场所
供应商的物料 是否有正式的管理评审和汇报物料管理的方法
管理系统
供应商是否具备使用条形码的能力
物料在存储、应用过程中是否得到有效的标识
为了保证产品质量,原材料的搬运和存储方式是否有
总得分:
得分
供应商风险等 供应商风险等

◇每批次物料需严格进行检验
管理措施
高风险
◇每种物料需提供有效化学测试报告,且最长不超过6个月
◇每年至少对供应商进行1次实地考察
◇对每批次物料进行检验
中风险
◇每种物料需提供有效化学测试报告,且最长不超过12个月
◇每年对供应商进行1次实地考察或书面审查
◇对每批次物料进行检验,若供应商的历史交货质量状况良好,可降低抽样检测频率
生产使用前,是否提前知道物料的检验结果
供应商风险等
根据上表对供
应高商风进险行(红评 色中风):险(黄 色低风):险(绿 色):
风险评分为25分以上。 风险评分为15~24分。 风险评分为15分以下。
日期:
评分标准
是:0分 否:1分 是:0分 否:1分 是:0分 否:1分 是:0分 否:1分 是:0分 否:1分 是:0分 否:1分 是:0分 否:1分 是:0分 否:1分
低风险
◇每年提交有效的化学测试报告1次
◇必要时,可对供应商每年执行1次书面审查
供应商: 盖章:
******** *有限公

Hale Waihona Puke 盖章:供应商的物料 高危物料的控制情况是否良好 风险控制能力 供应商的环保物料检测结果是否达标

信息安全风险评估调查表

表1:基本信息调查1 / 222 / 22网络设备:路由器、网关、交换机等。

安全设备:防火墙、入侵检测系统、身份鉴别等。

服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备:办公计算机、移动存储设备。

重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3 / 22填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件:项目管理软件、网管软件、办公软件等。

4 / 22服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。

岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。

5 / 22填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。

6 / 227 / 221、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。

1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。

8 / 22注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》9 / 2210 / 22表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。

供应商质量风险评估表

3
返工
少量批次返工
极少/没有返工
3
投诉
因质量体系缺陷所致的投诉
客户投诉系生产控制和质量体系的缺陷所致
少量客户投诉系生产控制和质量体系的缺陷所致
所接到的投诉均非生产控制和质量体系缺陷所致
3
调查(包括偏差、投诉、试验室等)
调查的质量、需要调查的偏差数量、纠正/预防措施的有效性
调查不彻底、文件不规范
个别调查不彻底、文件不规范
新设施与新技术,自动化程度高
3
操作设备维护不良
个别设备维护不及时
操作设备维护良好
3
人员不胜任
个别人员不胜任
能够胜任的训练有素的人员
3
年批次3批以下
年批次12批以下
年批次12批以上
2
新产品,缺乏经验
产品生产2年以上
产品生产5年以上
2
质量文化
全体人员质量体系的参与度
生产过程缺乏现代质量体系
生产过程缺乏现代质量体系
供应商质量风险评估表
供应商名称:
注册地址:
生产地址:
联系人:
电话:
风险类别
项目
方法
风险程度
标准分值
结果
高/1)
风险
分值
小计
质量风险
GMP法规符合的历史情况
检查监管机构的检查/行动客户以往质量审计的情况
存在大量和/或严重的缺陷
存在少量一般缺陷
极少或没有缺陷
4
存在审计要求整改的多种不良管理状态
2
与客户的沟通
从整体到个别信息的沟通状况
对影响到客户产品的偏差/变更不能作出有效的反应并通告客户
对影响到客户产品的个别偏差/变更不能作出有效的反应并通告客户

供应商风险评估

供应商风险评估的步骤供应商风险评估与管理的步骤如下。

1.制定供应商风险评估表评估供应商风险,首先要制定供应商风险评估表,如表1所示。

表1 供应商风险评估表12345由品质工程师根据以上要求,执行最终的风险等级评定,并填写风险评估表;必要时,可根据评估的结果,建立高风险物料清单。

根据表3.30对供应商进行评分,将供应商分为以下高、中、低3个等级。

高风险(红色)。

风险评分为25分以上。

中风险(黄色)。

风险评分为15~24分。

低风险(绿色)。

风险评分为15分以下。

供应商风险评估体系的构建折叠编辑本段1.评估体系的设置原则为保证评估结果的科学合理,在建立风险指标体系时,应遵循以下原则:l)科学性原则。

评价指标体系的设计应包含一定数量和层次的指标,各指标之间的关系应能准确反映事物之间的相互联系,这是实现正确、科学评价的前提和基础。

2)完备性原则。

评价指标体系必须全面、准确地反映涉及企业风险的各个方面,不但能反映企业的历史业绩及现状,而且还能体现企业的合作能力和未来的发展潜力。

3)简明性原则。

在全面反映企业综合水平的基础上,评价指标体系还必须做到简洁明了。

指标体系过大、过细,层次过多,不仅会增加数据采集的成本及操作过程的复杂性,而且势必会将企业的注意力集中到细小的问题上,不利于对企业整体的综合评价。

4)可比性原则。

评价指标体系应反映所有评价对象的共同属性,并尽可能的选用可量化的指标,对于定性指标,则可以通过专家打分或者其他方法给出较合理的定量化的数据,以保证评价结果的可比性。

65)灵活性原则。

评价指标体系应具有足够的灵活性和可操作性,以使企业能够根据自身的特点及其生产经营的实际情况灵活运用。

6)可扩充性原则。

评价指标体系应具有一定的可拓展性,不仅能够反映企业目前的发展水平,而且还能随着企业的发展而不断扩充、延展。

2.供应商风险评估指标体系国外对供应商评价指标问题研究比较早且影响比较大的是DicksonG.W.,他通过对170份调查结果的分析与研究,最终识别出了23个供应商选择准则,从中发现了三个重要的选择标准:产品的质量,成本和交货行为的历史;Hatheran在对制药业调查之后,总结出了评价及选择供应商的8项准则,其中排在前三位的是质量、价格、服务。

供应商安全评估表

22
是否有访客记录?
23
访客是否需要岀示身份证明才能进入工厂?
信息资料控制
是/否/无
24
是否有进入自动系统和查看文件的权限控制?
25
自动系统是否有密码控制?
供应商签字(盖章):
日期:
9
在法律允许的范围内,是否对所有员工进行背景审查?
10
员工证的发放是否专门的部门负责?
11
新员工的入职培训是否包括安全和危险意识培训?
12
公司内是否设有禁区,是否有进入权限的规定?
13
是否对所有的新员工培训进行记录(包括主题、日期、参加人员等)?
14
是否有书面的员工行为守则?
15
疋否有相关制度,对所有重点区域疋否疋期进行突击安全检查?
实体安全
是/否/无
16
公司是否有非法进入监测和报警系统?
17
是否实施了员工身份认证系统和岀入控制?
18
所有岀入口(门、窗、大门等)都装有完备的锁闭装置吗?
19
公司是否有书面的钥匙管理制度(发放、收发日期、追踪)?
20
公司是否有专门的保安力量?
21
是否采用闭路电视摄像机(CCTV)监控工厂内/外部的情况?
供应商安全评估表(BL/C-TPAT-036)
运输公司信息
1
公司名称
2
公ห้องสมุดไป่ตู้在哪一年成立?
3
公司面积
4
公司有多少个通往外部的岀口?
5
公司有多少员工?(全职/兼职/季节性)
综合信息
是/否/无
6
是否所有安全程序有书面制度?
7
是否有专职的保安部/主管?
人员培训
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

All areas covered by the **** project must be
2
identified, including but not limited to sensitive raw
materials and equipment areas, storage areas and
warehouse areas, access and transportation routes,
s供ec应ur商ity须po建lic立ie人s, 员reg离ul职ati处on理s a流nd程ot,he至rs,少an要d 关the闭信
息系统帐号和权限,回收存储介质(包含电脑)

2.5
The suppliers must establish a process for employee
1
termination, at least to disable the information
access, such as implement data encryption or data
总得分
leakage prevention.
Subtotal 得分率
Percentage %
1
1 4
50.00%
4、物理与环境安全 4. Physical and environment security
总得分
system accounts and permissions, and return the
Subtotal 得分率
Percentage %
9 90.00%
3、数据和介质管理 3. Data and media management
序号# S/N 3.1
3.2
信息安全要求 Information Security Requirements 供应商须对****数据进行分级和分类,包含图纸
2
information security policies and check the
总得分
implementation of relevant control measures.
Subtotal
13
得分率
Percentage %
92.86%
2、人员管理
序号# S/N
信息安全要求 Information Security Requirements
自评得分 Selfassessment
、技术规格书及合同内容的数据应定义为涉密信
息(后面统称****涉密信息)。
The suppliers must categorize and classify **** data. The data including drawings, technical
1
specifications and contract should be defined as
自评得分 负责部门
Self-
Responsible
供应商招聘人员时应进行背景调查,特别是关键 assessment Department
岗位人员。
2.1
Background checks on all candidates for
2
e供m应plo商ym须e与nt所sh有ou员ld 工be签ca署rriNedDoAu,t, e特sp别ec是ial参ly与fo*r*k*e*y 项目及能接触****信息和系统的员工。
management, documents management and risk
assessment.
负责部门 Responsible Department
供应商应定期审查信息安全策略并对相关控制措
施的执行情况进行检查。
1.7
The suppliers should periodically review the
****项目和在****现场调试的人员。
The suppliers must pass on the requirements of <
2
Information Security Instruction of Supplier Visit
with the ****> (The latest file is called "****
1
responsibilities, and make them available to to all
e供m应plo商ye应es制. 定信息安全的相关策略(应充分考虑 客户的信息安全要求),组织各级员工了解并可 获取。
The suppliers should establish the information
1.5 1.6
信息安全要求
自评得分
Information Security Requirements 供应商须建立信息安全管理组织并定义其职责,
Selfassessment
组织各级员工可获取。
The suppliers must establish an information security
management organization and define their
供应商须建立移动存储介质的管理规定,含有
****涉密信息的介质未经授权禁止带离公司。
3.3
The suppliers must establish management regulations for mobile storage media. It is forbidden
that the media including **** confidential
供应商信息安全风险评估检查表 Information Security Risk Assessment Checklist for Suppl
1、信息安全组织及策略 1. Information security organization and policy
序号# S/N 1.1 1.2
1.3
1.4
少保存1年。
The entrance control must be implemented at the entrance and exit of the **** security zone.
Supplier Security and Confidential Instructions") to
relevant employees, especially those were involved 供应商若提供设备电脑给****,设备进入****前 须按照****《设备电脑信息安全管理工作指示》 进行自查,并将要求传达给相关人员(特别是在 ****的现场工程师)。
If the suppliers provides the equipment computer to ****, the equipment must be self-inspected
2
according to the **** "Equipment Computer
Information Security Management Work
2
must use the '**** rental laptop' to debug, and this
requirement is made available to the relevant p供er应so商nn须el.实施项目信息安全管理,尤其是****项 目,包含密级划分、人员管理、文档管理、风险 评估等。
2
for the areas involved in the **** project, and the
security level is clearly identified with a label. The
s*e*n*s*i安tiv全e r区aw域m出at入eri口als处an须d 设eq置uip门m禁en刷t a卡rea机s a,nd授权 人员通过门禁卡进出安全区域,门禁进出记录至
序号# S/N 4.1
4Байду номын сангаас2
4.3 4.4 4.5
信息安全要求
自评得分
Self-
Information Security Requirements
assessment
必须识别****项目涉及的全部区域,包括但不限
于敏感原材料和设备区、存放区和仓库区、通道
和运输路线、研发区、生产区、测试区、办公室
以及装货/发货区。
2
securty policies (Customer's information security
requirements should be fully considered) and make
t供he应m商av须ail将ab*le**to*的all《em供p应loy商ee来s.访我司安全保密须 知》(最新版文件名为《**** 供应商安全保密须 知 》的要求传达至内部相关人员,特别是参与
Instruction" before entering the ****, and the
r供eq应ui商rem若e参nts与ar*e*a*v*a现ila场bl的e t设o t备he调re试lev,an须t p使er用so*n*n*e*l 租赁笔记本电脑进行调试,并将要求传达给相关
人员。
If the suppliers debug the equipment at ****, they
i供nf应orm商a应tio对n i*s*t*a*k的en涉aw密ay信fr息om采t取he防co护m措pan施y,wi确tho保ut 其未被非授权访问或获取,如数据加密、数据防
泄漏等。
3.4
The suppliers should take actions for ****