【14】明基醫(yī)院供應(yīng)鏈風(fēng)險(xiǎn)管理調(diào)查問(wèn)卷-0915

1. 您的姓名

2. 您的部門

3. 您的職務(wù)

4. 您的辦公地點(diǎn)

南京蘇州

5. 貴院是否制定了文件化的供應(yīng)鏈網(wǎng)絡(luò)安全政策及實(shí)施程序？

是，已制定文件化的政策及實(shí)施程序，并嚴(yán)格執(zhí)行。部分政策和程序已制定，但尚未全面覆蓋或執(zhí)行不到位。有政策或程序草案，但尚未正式批準(zhǔn)或執(zhí)行。沒(méi)有制定供應(yīng)鏈網(wǎng)絡(luò)安全政策及實(shí)施程序。不清楚

6. 貴院是否定期對(duì)IT供應(yīng)商和服務(wù)提供商（包括分包商）進(jìn)行徹底風(fēng)險(xiǎn)評(píng)估?

是（如：定期評(píng)估供應(yīng)商安全能力、歷史記錄及潛在風(fēng)險(xiǎn)）否（未開(kāi)展風(fēng)險(xiǎn)評(píng)估）部分符合（如：評(píng)估不定期或覆蓋不全）不了解

7. 貴院在供應(yīng)商風(fēng)險(xiǎn)評(píng)估中是否考慮以下因素？

供應(yīng)商的合作伙伴及業(yè)務(wù)關(guān)系供應(yīng)商所在國(guó)家或地區(qū)的網(wǎng)絡(luò)安全環(huán)境供應(yīng)商與競(jìng)爭(zhēng)對(duì)手的潛在關(guān)聯(lián)供應(yīng)商歷史安全事件記錄其他因素（請(qǐng)說(shuō)明）不了解

8. 貴院是否詳細(xì)記錄合同中服務(wù)提供商可訪問(wèn)的系統(tǒng)和數(shù)據(jù)類型?

是（如：合同明確列出訪問(wèn)權(quán)限、范圍及數(shù)據(jù)類型）否（合同未記錄具體訪問(wèn)類型）部分符合（如：合同中有部分說(shuō)明，但不完整）不了解

9. 貴院是否對(duì)供應(yīng)商遠(yuǎn)程訪問(wèn)實(shí)施安全控制？

VPN訪問(wèn)控制雙因素身份驗(yàn)證限制訪問(wèn)權(quán)限和訪問(wèn)時(shí)間未實(shí)施任何控制不了解其他，請(qǐng)說(shuō)明

10. 貴院是否向供應(yīng)商和服務(wù)提供商傳達(dá)了一套最低網(wǎng)絡(luò)安全要求?

是（如：要求覆蓋訪問(wèn)控制、身份驗(yàn)證、加密及事件響應(yīng)等）否（未傳達(dá)任何網(wǎng)絡(luò)安全要求）部分符合（如：要求不完整或未覆蓋所有供應(yīng)商）不了解

11. 貴院是否記錄了核實(shí)供應(yīng)商和分包商遵守最低網(wǎng)絡(luò)安全要求的權(quán)利?

是（如：合同或制度中明確記錄檢查與審核權(quán)利）否（未記錄相關(guān)權(quán)利）部分符合（如：記錄不完整或僅針對(duì)部分供應(yīng)商）不了解

12. 貴院是否針對(duì)不同類型的合同制定不同的網(wǎng)絡(luò)安全要求?

是（如：根據(jù)合同類型及風(fēng)險(xiǎn)等級(jí)制定差異化要求）否（所有合同要求統(tǒng)一，無(wú)差異化）部分符合（如：僅對(duì)部分合同類型制定差異化要求）不了解

13. 在合同結(jié)束時(shí)，貴院是否采取以下措施？

停用所有供應(yīng)商和服務(wù)賬戶終止數(shù)據(jù)流和系統(tǒng)訪問(wèn)安全處置供應(yīng)商系統(tǒng)中存儲(chǔ)的組織數(shù)據(jù)不采取任何措施不了解其他，請(qǐng)說(shuō)明

14. 貴院是否要求供應(yīng)商提供網(wǎng)絡(luò)安全保證措施？

滲透測(cè)試外部審計(jì)國(guó)際公認(rèn)的網(wǎng)絡(luò)安全認(rèn)證（如ISO27001）其他，請(qǐng)說(shuō)明未提出具體保證要求不了解

15. 貴院是否實(shí)施關(guān)鍵績(jī)效指標(biāo)（KPI）以衡量供應(yīng)鏈網(wǎng)絡(luò)安全管理實(shí)踐?

是（如：量化指標(biāo)，如漏洞響應(yīng)時(shí)間、審計(jì)結(jié)果合格率等）否（未建立KPI）部分符合（如：僅有部分指標(biāo)或未完全量化）不了解

16. 貴院是否定期評(píng)估供應(yīng)商遵守網(wǎng)絡(luò)安全要求的實(shí)際表現(xiàn)?

是（如：通過(guò)審計(jì)、報(bào)告或現(xiàn)場(chǎng)檢查評(píng)估）否（未開(kāi)展評(píng)估）部分符合（如：僅偶爾評(píng)估或覆蓋有限供應(yīng)商）不了解

17. 貴院是否確保供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估結(jié)果納入合同決策和管理流程?

是（如：評(píng)估結(jié)果影響合同簽訂和管理策略）否（風(fēng)險(xiǎn)評(píng)估與合同管理脫節(jié)）部分符合（如：僅部分結(jié)果被納入）不了解

18. 貴院是否要求供應(yīng)商和分包商報(bào)告其網(wǎng)絡(luò)安全事件或違規(guī)情況?

是（如：合同或制度中有明確報(bào)告流程）否（未要求供應(yīng)商報(bào)告安全事件）部分符合（如：僅部分供應(yīng)商或事件類型要求報(bào)告）不了解

19. 貴院是否對(duì)供應(yīng)商和分包商提供培訓(xùn)或指導(dǎo)以滿足網(wǎng)絡(luò)安全要求?

是（如：提供培訓(xùn)、指導(dǎo)材料或最佳實(shí)踐指南）否（未提供任何培訓(xùn)或指導(dǎo)）部分符合（如：培訓(xùn)或指導(dǎo)僅覆蓋部分供應(yīng)商）不了解

20. 貴院是否記錄供應(yīng)商和分包商的安全認(rèn)證和審計(jì)結(jié)果?

是（如：有完整記錄并納入風(fēng)險(xiǎn)管理）否（未記錄相關(guān)信息）部分符合（如：僅記錄部分供應(yīng)商或部分認(rèn)證）不了解

21. 貴院是否根據(jù)供應(yīng)商風(fēng)險(xiǎn)等級(jí)調(diào)整網(wǎng)絡(luò)安全要求?

是（如：高風(fēng)險(xiǎn)供應(yīng)商有更嚴(yán)格要求，低風(fēng)險(xiǎn)有相應(yīng)控制）否（所有供應(yīng)商要求一致，無(wú)風(fēng)險(xiǎn)區(qū)分）部分符合（如：僅部分供應(yīng)商風(fēng)險(xiǎn)分級(jí)管理）不了解

22. 貴院是否將供應(yīng)鏈網(wǎng)絡(luò)安全管理納入整體信息安全管理體系（ISMS）?

是（如：供應(yīng)鏈安全是ISMS的一部分，定期審核）否（供應(yīng)鏈安全獨(dú)立于ISMS）部分符合（如：僅部分流程納入ISMS）不了解

23. 貴院是否對(duì)供應(yīng)鏈網(wǎng)絡(luò)安全管理實(shí)踐進(jìn)行持續(xù)改進(jìn)?

是（如：通過(guò)審計(jì)、KPI、事件反饋持續(xù)優(yōu)化流程）否（未進(jìn)行持續(xù)改進(jìn)）部分符合（如：偶爾改進(jìn)，但無(wú)系統(tǒng)流程）不了解

更多問(wèn)卷復(fù)制此問(wèn)卷

【14】明基醫(yī)院 供應(yīng)鏈風(fēng)險(xiǎn)管理 調(diào)查問(wèn)卷-0915

【14】明基醫(yī)院供應(yīng)鏈風(fēng)險(xiǎn)管理調(diào)查問(wèn)卷-0915