本标准操作程序定义了 Blevins Holdings 评估、引入、管理和终止第三方供应商关系的流程。所有供应商参与必须遵循此流程,以确保安全性、合规性和成本效益。
新供应商引入通常需要 2–4 周时间,具体取决于风险等级和审核要求。请提前规划。
| 等级 | 描述 | 审核要求 | 审批人 |
|---|
| Tier 1 — 关键 | 处理敏感数据或提供核心业务服务的供应商 | 完整的安全评估、法务审核、财务审核 | 部门负责人 + CISO + CFO |
| Tier 2 — 重要 | 提供重要但非关键服务的供应商 | 安全问卷、法务审核 | 部门负责人 + IT 安全 |
| Tier 3 — 标准 | 低风险供应商,不接触敏感数据 | 基本评估 | 部门负责人 |
- 需求方填写供应商引入申请表,包括业务需求说明、预期供应商和预算估算。
- 申请表提交给采购部门进行初步审核。
- 采购部门确认是否已有现有供应商可以满足需求。
- 如果需要新供应商,流程进入步骤 2。
- 采购部门根据服务类型和数据接触范围分配风险等级。
- 收集供应商的基本信息:公司背景、服务范围、参考客户。
- 进行初步的市场调研和价格比较。
- 根据风险等级确定后续审核流程。
Tier 1 和 Tier 2 供应商必须通过 IT 安全审核:
- 向供应商发送安全评估问卷。
- 审核供应商的安全认证(SOC 2、ISO 27001 等)。
- 评估数据处理和存储实践。
- 审核供应商的事件响应能力。
- 记录审核结果和任何已识别的风险。
处理个人身份信息(PII)或受监管数据的供应商必须满足我们的数据隐私政策要求。
- 法务团队审核供应商合同条款。
- 确保包含数据处理协议(DPA)、保密条款和赔偿条款。
- 审核服务级别协议(SLA)和终止条款。
- 协商必要的合同修改。
- 法务团队签字批准最终合同。
- 审批完成后,采购部门将供应商添加到供应商登记簿。
- 记录合同开始日期、续约日期和主要联系人。
- 设置定期审核提醒。
- 通知相关团队供应商已获批准并可以开始使用。
- 根据 SLA 定期监控供应商绩效。
- 收集内部用户对供应商服务质量的反馈。
- 跟踪事件和问题的解决及时性。
- 定期与供应商进行业务回顾会议。
| 审核内容 | Tier 1 | Tier 2 | Tier 3 |
|---|
| 安全重新评估 | 必须 | 必须 | 按需 |
| 合同审核 | 必须 | 必须 | 续约时 |
| 绩效评估 | 每季度 | 每半年 | 每年 |
| 财务审核 | 必须 | 按需 | 不要求 |
- 立即根据事件响应标准操作程序启动事件响应流程。
- 联系供应商获取事件详情和预计恢复时间。
- 评估对 Blevins Holdings 的影响。
- 记录事件并更新供应商风险评估。
终止与供应商的关系时,请遵循以下步骤:
- 提前按合同规定的通知期通知供应商。
- 制定数据迁移或销毁计划。
- 确认供应商已删除或归还所有 Blevins Holdings 的数据。
- 撤销供应商对所有系统和设施的访问权限。
- 从供应商登记簿中更新状态并存档相关文档。
