供應鏈管理
聯系我們
確立達顧問集團
(廣州.深圳.惠州)
咨詢熱線:
黃先生 135 5482 3909
郵箱:info@qualtekgz.com
廣州公司:廣州市黃埔區盛凱大街3號1825房
深圳公司:深圳市龍崗區園山街道星河智薈A2區E座中興智匯大廈513
惠州公司:惠州市惠城區帝景文化名都大廈B棟1001室
華為驗廠信息安全咨詢定制
廣州確立達擁有10名熟悉華為驗廠要求的全職講師,至今已經為超過100家的華為供應商提供了定制咨詢服務,如有需要,歡迎咨詢定制:黃老師 135 5482 3909
檢查表示例:
供應商信息安全管理體系 Checklist V02.10
| 1、信息安全體系 | ||||
| 序號# | 評分內容 Requirements | 得分 Score | 評分備注 Scoring remarks | 證據要求 Evidence O 流程文件 △ 執行記錄 |
| 1.1 | 供應商須制定信息安全管理的相關方針、政策、制度并實施。 | 1 | 有信息安全制度 | O 政策或制度文件 △ 執行記錄 |
| 1.2 | 供應商須建立信息安全管理組織并例行運作,如:建立信息安全委員會,包括高層領導、各部相關主管、信息安全部或專兼職信息安全專家(員)等。 | 0 | 無專職人員 | O 組織任命文件 △ 組織運作記錄 |
| 1.3 | 供應商須制定信息安全規范及違規處罰條例并定期實施檢查。違規處罰應按涉密級別、影響嚴重性、動機(無意或有意)、是否流入華為競爭對手、調查時配合程度進行分級處罰,并嚴重違規行為的員工主管進行問責處理。 | 0 | 無定期檢查 | O 規范及違規處罰條例 △ 檢查記錄 |
| 1.4 | 供應商須對信息資產進行密級劃分,如絕秘、機密、秘密、丙部公開、外部公開等,并進行分級管理。對不同密級信息資產獲取和使用應按照“工作相關、最小授權、審批受控和不信任原則”,供應商須制定獲取、共享、存儲及對外提供信息的管理規范。對于屬于華為提供的信息資產,應定義為機密級并制定阻確的管控制度。 | 1 | 有密級管理 | O 信息資產管理文件 |
| 1.5 | 供應商須通過第三方ISO 27001信息安全體系認證。第三方ISO 27001體系認證應覆蓋涉及華為業務的設計開發、IT和生產制造等領域。 | 0 | 未通過27001 | O 證書掃描件 |
| 1.6 | 供應商須定期組織信息安全內部稽查,稽查checklist應覆蓋涉及關鍵信息資產流轉的各領域(如文檔接收、文檔轉換、文控、IT和生產制造等),稽查發現問題應有改善計劃及問題跟蹤閉環記錄。 | 0 | 無定期檢查 | △ 稽查報告、改善計劃及問題關閉情況 |
| 總得分 | 2 | |||
| 合規性 Compliance % | 16. 67% | |||
| 2、信息安全協議 | ||||
| 序號# | 評分內容 Requirements | 得分 Score | 評分備注 Scoring remarks | 證據要求 Evidence O 流程文件 △執行記錄 |
| 2.2 | 供應商須將NDA協議條款融入到信息安全管理制度、規范中,并與下游供應商簽署NDA協議。 | 1 | 有NDA簽署 | O 管理制度、規范 |
申請試聽
