供应商安全评估这件事,大多数企业的情况是:制度里写了要做评估、合同里写了安全要求,但一问"怎么评的""依据了什么",答不上来。
27001 A.5.19(供应商关系的信息安全)和 A.5.20(供应商服务的监视和评审)要解决的问题其实很明确:
- 你选供应商的时候,有没有评估过对方的安全能力?
- 合作期间,你有没有持续监视对方的表现?
- 合作终止了,你有没有确保数据被妥善处置?
这篇文章还是只讲一件事:供应商安全评估的字段表、流程设计和常见翻车点。
一、不是所有供应商都需要同等评估
很多企业犯的第一个错:对所有供应商用同一套评估标准。
云服务商和一个打印店都用同一张表——打印店的4分和云厂商的98分看起来差不多,但风险完全不一样。
分级管理原则:
| 供应商级别 | 定义 | 评估方式 |
|---|---|---|
| 高影响 | 可接触L3/L4数据、涉及核心系统 | 现场+远程结合,第三方评估报告,渗透测试 |
| 中影响 | 可接触L2数据、涉及非核心系统 | 远程问卷 + 合同条款约定 |
| 低影响 | 无数据接触、仅提供服务 | 合同条款约定即可 |
关键判断标准: 不是从金额出发,是从"对方能接触到什么数据"出发。
二、三阶段流程 + 关键字段
阶段1:准入评估(A.5.19)
供应商正式合作前必须完成的评估。
评估表关键字段:
| 字段 | 说明 | 必填 |
|---|---|---|
| 供应商名称 | 全称 | 是 |
| 服务类型 | 云服务/软件开发/IT运维/保洁等 | 是 |
| 安全等级 | 高/中/低(根据数据接触程度) | 是 |
| 评估方式 | 现场/远程/问卷/第三方报告 | 是 |
| 安全能力项 | 见下方明细 | 是 |
| 风险接受说明 | 若有不符合项,是否接受及原因 | 是 |
| 评估人 | 谁做的评估 | 是 |
| 本次结论 | 通过/有条件通过/不通过 | 是 |
| 有效期 | 本次评估的有效期截止日 | 是 |
安全能力项明细(建议评估维度):
| 评估项 | 检查内容 |
|---|---|
| 访问控制 | 是否有账号管理流程、最小权限原则 |
| 数据保护 | 数据加密(传输+存储)、备份机制 |
| 事件响应 | 供应商是否有事件响应流程和上报机制 |
| 合规资质 | 是否有ISO 27001/等保等认证 |
| 人员安全 | 对员工是否有安全培训和保密协议 |
| 渗透测试 | 是否定期做渗透测试,结果是否可共享 |
评估后的判断:
- 通过 → 正常合作
- 有条件通过 → 限定访问范围、限期整改
- 不通过 → 不合作或选择替代供应商
阶段2:持续监控(A.5.20)
供应商不是评完就结束了。合作期间需要监视。
监视方式:
| 方式 | 频率 | 适用场景 |
|---|---|---|
| 定期复评 | 高影响每年1次,中影响2年1次 | 通用 |
| 触发式复评 | 事件驱动 | 供应商发生安全事件、重大系统变更、服务内容变更 |
| 绩效评分 | 每季度 | 通过服务水平协议指标(SLA)监控 |
| 审计权 | 合同约定 | 有权对供应商进行抽查审计 |
触发式复评的场景:
- 供应商发生公开安全事件(数据泄露、入侵)
- 供应商系统架构重大变更
- 供应商引入分包商涉及你的数据
- 供应商续约前
阶段3:退出与交接
合作终止时,供应商必须归还或销毁你的数据。
| 动作 | 证据要求 |
|---|---|
| 数据销毁 | 供应商出具销毁证明(含时间、方式、见证人) |
| 数据归还 | 数据回收清单,双方签字确认 |
| 权限回收 | 供应商相关人员对贵司系统的访问权限全部回收 |
| 服务交接 | 交接完成报告,确认服务平稳转移 |
最容易踩的坑:合作终止了但在供应商系统里还有贵司的数据没有被删除。
三、评估表模板(可直接复用)
供应商名称:_________ 服务类型:_________
安全等级:高/中/低 评估日期:_________
一、安全能力评估
1. 访问控制 □ 满足 □ 部分满足 □ 不满足
2. 数据保护 □ 满足 □ 部分满足 □ 不满足
3. 事件响应 □ 满足 □ 部分满足 □ 不满足
4. 合规资质 □ 满足 □ 部分满足 □ 不满足
5. 人员安全 □ 满足 □ 部分满足 □ 不满足
6. 渗透测试 □ 满足 □ 部分满足 □ 不满足
二、风险说明
不符合项:_________
风险接受:是/否
接受理由:_________
三、结论
□ 通过 □ 有条件通过(整改项见附件) □ 不通过
评估人:_________ 有效期至:_________
四、三个常见翻车点
翻车1:评估表全是满分
一份供应商评估表,所有维度都是"满足"——但找一个实际问题问他,答不上来。
这不是评估,是走过场。 真正的评估必须能暴露问题。如果供应商的评估结果"完美无瑕",要么是审核员没认真审,要么是甲方不敢写。
翻车2:复评从来不触发
协议里写了"每年评估一次",但第二年没人去做——因为合作还在继续,没人觉得需要"再评一次"。
解决方案: 系统里设置自动提醒(如ITSM工单),提前30天触发复评流程。
翻车3:合同和安全评估两张皮
合同里写的安全要求和评估表上的内容对不上。合同写了"供应商需定期进行渗透测试",但评估表里没有"渗透测试"这一项。
解决方案: 让合同和安全评估共享同一套检查清单。
五、与9001的简短对照
9001 的 8.4 条款"外部提供过程、产品和服务的控制",要求对外部供应商进行评价、监视和再评价。
把供应商安全评估的逻辑平移过去:
- 准入评估 → 评价(8.4.1)
- 持续监控 → 监视(8.4.2)
- 退出交接 → 验证(8.4.3)
"评了"不等于"评对了"。 评估表单和合同条款必须对齐,复评必须触发,证据必须留存。
六、小结
供应商安全评估的本质是:
- 分级评估:不是所有供应商同标准
- 准入有依据:评估字段清晰,结论明确
- 监控有制度:定期+触发式复评
- 退出有闭环:数据销毁/归还+权限回收
做到这四点,你的供应商安全管理才能说"落地了"。
周知ISO,专注于ISO 27001/9001/20000-1审核实务,持续分享企业ISO管理体系经验。
