Documentation Index
Fetch the complete documentation index at: https://docs.blevinsholdings.com/llms.txt
Use this file to discover all available pages before exploring further.
概述
新供应商引入通常需要 2–4 周时间,具体取决于风险等级和审核要求。请提前规划。
供应商登记簿
风险等级
| 等级 | 描述 | 审核要求 | 审批人 |
|---|---|---|---|
| Tier 1 — 关键 | 处理敏感数据或提供核心业务服务的供应商 | 完整的安全评估、法务审核、财务审核 | 部门负责人 + CISO + CFO |
| Tier 2 — 重要 | 提供重要但非关键服务的供应商 | 安全问卷、法务审核 | 部门负责人 + IT 安全 |
| Tier 3 — 标准 | 低风险供应商,不接触敏感数据 | 基本评估 | 部门负责人 |
步骤 1:提交请求
- 需求方填写供应商引入申请表,包括业务需求说明、预期供应商和预算估算。
- 申请表提交给采购部门进行初步审核。
- 采购部门确认是否已有现有供应商可以满足需求。
- 如果需要新供应商,流程进入步骤 2。
步骤 2:初步审核
- 采购部门根据服务类型和数据接触范围分配风险等级。
- 收集供应商的基本信息:公司背景、服务范围、参考客户。
- 进行初步的市场调研和价格比较。
- 根据风险等级确定后续审核流程。
步骤 3:IT 安全审核
- 向供应商发送安全评估问卷。
- 审核供应商的安全认证(SOC 2、ISO 27001 等)。
- 评估数据处理和存储实践。
- 审核供应商的事件响应能力。
- 记录审核结果和任何已识别的风险。
步骤 4:法务审核
- 法务团队审核供应商合同条款。
- 确保包含数据处理协议(DPA)、保密条款和赔偿条款。
- 审核服务级别协议(SLA)和终止条款。
- 协商必要的合同修改。
- 法务团队签字批准最终合同。
步骤 5:添加到登记簿
- 审批完成后,采购部门将供应商添加到供应商登记簿。
- 记录合同开始日期、续约日期和主要联系人。
- 设置定期审核提醒。
- 通知相关团队供应商已获批准并可以开始使用。
持续管理
绩效监控
- 根据 SLA 定期监控供应商绩效。
- 收集内部用户对供应商服务质量的反馈。
- 跟踪事件和问题的解决及时性。
- 定期与供应商进行业务回顾会议。
年度审核
| 审核内容 | Tier 1 | Tier 2 | Tier 3 |
|---|---|---|---|
| 安全重新评估 | 必须 | 必须 | 按需 |
| 合同审核 | 必须 | 必须 | 续约时 |
| 绩效评估 | 每季度 | 每半年 | 每年 |
| 财务审核 | 必须 | 按需 | 不要求 |
供应商事件
- 立即根据事件响应标准操作程序启动事件响应流程。
- 联系供应商获取事件详情和预计恢复时间。
- 评估对 Blevins Holdings 的影响。
- 记录事件并更新供应商风险评估。
供应商终止
- 提前按合同规定的通知期通知供应商。
- 制定数据迁移或销毁计划。
- 确认供应商已删除或归还所有 Blevins Holdings 的数据。
- 撤销供应商对所有系统和设施的访问权限。
- 从供应商登记簿中更新状态并存档相关文档。
尽职调查检查清单
安全
- 审核安全认证和合规报告
- 评估数据加密实践(传输中和静态)
- 确认访问控制和身份管理措施
- 审核事件响应和业务连续性计划
- 评估员工安全培训计划
法务
- 审核并协商主服务协议
- 确保数据处理协议符合要求
- 确认保密和知识产权条款
- 审核责任限制和赔偿条款
- 确认符合可接受使用政策要求
财务
- 审核供应商的财务稳定性
- 比较市场定价
- 确认付款条款和发票流程
- 评估总拥有成本
- 确认预算分配和审批