【14】明基醫(yī)院供應鏈風險管理調查問卷-0915

1. 您的姓名

2. 您的部門

3. 您的職務

4. 您的辦公地點

南京蘇州

5. 貴院是否制定了文件化的供應鏈網絡安全政策及實施程序？

是，已制定文件化的政策及實施程序，并嚴格執(zhí)行。部分政策和程序已制定，但尚未全面覆蓋或執(zhí)行不到位。有政策或程序草案，但尚未正式批準或執(zhí)行。沒有制定供應鏈網絡安全政策及實施程序。不清楚

6. 貴院是否定期對IT供應商和服務提供商（包括分包商）進行徹底風險評估?

是（如：定期評估供應商安全能力、歷史記錄及潛在風險）否（未開展風險評估）部分符合（如：評估不定期或覆蓋不全）不了解

7. 貴院在供應商風險評估中是否考慮以下因素？

供應商的合作伙伴及業(yè)務關系供應商所在國家或地區(qū)的網絡安全環(huán)境供應商與競爭對手的潛在關聯供應商歷史安全事件記錄其他因素（請說明）不了解

8. 貴院是否詳細記錄合同中服務提供商可訪問的系統和數據類型?

是（如：合同明確列出訪問權限、范圍及數據類型）否（合同未記錄具體訪問類型）部分符合（如：合同中有部分說明，但不完整）不了解

9. 貴院是否對供應商遠程訪問實施安全控制？

VPN訪問控制雙因素身份驗證限制訪問權限和訪問時間未實施任何控制不了解其他，請說明

10. 貴院是否向供應商和服務提供商傳達了一套最低網絡安全要求?

是（如：要求覆蓋訪問控制、身份驗證、加密及事件響應等）否（未傳達任何網絡安全要求）部分符合（如：要求不完整或未覆蓋所有供應商）不了解

11. 貴院是否記錄了核實供應商和分包商遵守最低網絡安全要求的權利?

是（如：合同或制度中明確記錄檢查與審核權利）否（未記錄相關權利）部分符合（如：記錄不完整或僅針對部分供應商）不了解

12. 貴院是否針對不同類型的合同制定不同的網絡安全要求?

是（如：根據合同類型及風險等級制定差異化要求）否（所有合同要求統一，無差異化）部分符合（如：僅對部分合同類型制定差異化要求）不了解

13. 在合同結束時，貴院是否采取以下措施？

停用所有供應商和服務賬戶終止數據流和系統訪問安全處置供應商系統中存儲的組織數據不采取任何措施不了解其他，請說明

14. 貴院是否要求供應商提供網絡安全保證措施？

滲透測試外部審計國際公認的網絡安全認證（如ISO27001）其他，請說明未提出具體保證要求不了解

15. 貴院是否實施關鍵績效指標（KPI）以衡量供應鏈網絡安全管理實踐?

是（如：量化指標，如漏洞響應時間、審計結果合格率等）否（未建立KPI）部分符合（如：僅有部分指標或未完全量化）不了解

16. 貴院是否定期評估供應商遵守網絡安全要求的實際表現?

是（如：通過審計、報告或現場檢查評估）否（未開展評估）部分符合（如：僅偶爾評估或覆蓋有限供應商）不了解

17. 貴院是否確保供應鏈風險評估結果納入合同決策和管理流程?

是（如：評估結果影響合同簽訂和管理策略）否（風險評估與合同管理脫節(jié)）部分符合（如：僅部分結果被納入）不了解

18. 貴院是否要求供應商和分包商報告其網絡安全事件或違規(guī)情況?

是（如：合同或制度中有明確報告流程）否（未要求供應商報告安全事件）部分符合（如：僅部分供應商或事件類型要求報告）不了解

19. 貴院是否對供應商和分包商提供培訓或指導以滿足網絡安全要求?

是（如：提供培訓、指導材料或最佳實踐指南）否（未提供任何培訓或指導）部分符合（如：培訓或指導僅覆蓋部分供應商）不了解

20. 貴院是否記錄供應商和分包商的安全認證和審計結果?

是（如：有完整記錄并納入風險管理）否（未記錄相關信息）部分符合（如：僅記錄部分供應商或部分認證）不了解

21. 貴院是否根據供應商風險等級調整網絡安全要求?

是（如：高風險供應商有更嚴格要求，低風險有相應控制）否（所有供應商要求一致，無風險區(qū)分）部分符合（如：僅部分供應商風險分級管理）不了解

22. 貴院是否將供應鏈網絡安全管理納入整體信息安全管理體系（ISMS）?

是（如：供應鏈安全是ISMS的一部分，定期審核）否（供應鏈安全獨立于ISMS）部分符合（如：僅部分流程納入ISMS）不了解

23. 貴院是否對供應鏈網絡安全管理實踐進行持續(xù)改進?

是（如：通過審計、KPI、事件反饋持續(xù)優(yōu)化流程）否（未進行持續(xù)改進）部分符合（如：偶爾改進，但無系統流程）不了解

更多問卷復制此問卷

97色精品视频在线观看,亚洲中文字幕页面,亚洲国产制服丝袜清纯,久久九九有精品国产23