【14】明基医院 供应链风险管理 调查问卷-0915
1. 您的姓名
2. 您的部门
3. 您的职务
4. 您的办公地点
南京
苏州
5. 贵院是否制定了文件化的供应链网络安全政策及实施程序?
是,已制定文件化的政策及实施程序,并严格执行。
部分政策和程序已制定,但尚未全面覆盖或执行不到位。
有政策或程序草案,但尚未正式批准或执行。
没有制定供应链网络安全政策及实施程序。
不清楚
6. 贵院是否定期对IT供应商和服务提供商(包括分包商)进行彻底风险评估?
是(如:定期评估供应商安全能力、历史记录及潜在风险)
否(未开展风险评估)
部分符合(如:评估不定期或覆盖不全)
不了解
7. 贵院在供应商风险评估中是否考虑以下因素?
供应商的合作伙伴及业务关系
供应商所在国家或地区的网络安全环境
供应商与竞争对手的潜在关联
供应商历史安全事件记录
其他因素(请说明)
不了解
8. 贵院是否详细记录合同中服务提供商可访问的系统和数据类型?
是(如:合同明确列出访问权限、范围及数据类型)
否(合同未记录具体访问类型)
部分符合(如:合同中有部分说明,但不完整)
不了解
9. 贵院是否对供应商远程访问实施安全控制?
VPN访问控制
双因素身份验证
限制访问权限和访问时间
未实施任何控制
不了解
其他,请说明
10. 贵院是否向供应商和服务提供商传达了一套最低网络安全要求?
是(如:要求覆盖访问控制、身份验证、加密及事件响应等)
否(未传达任何网络安全要求)
部分符合(如:要求不完整或未覆盖所有供应商)
不了解
11. 贵院是否记录了核实供应商和分包商遵守最低网络安全要求的权利?
是(如:合同或制度中明确记录检查与审核权利)
否(未记录相关权利)
部分符合(如:记录不完整或仅针对部分供应商)
不了解
12. 贵院是否针对不同类型的合同制定不同的网络安全要求?
是(如:根据合同类型及风险等级制定差异化要求)
否(所有合同要求统一,无差异化)
部分符合(如:仅对部分合同类型制定差异化要求)
不了解
13. 在合同结束时,贵院是否采取以下措施?
停用所有供应商和服务账户
终止数据流和系统访问
安全处置供应商系统中存储的组织数据
不采取任何措施
不了解
其他,请说明
14. 贵院是否要求供应商提供网络安全保证措施?
渗透测试
外部审计
国际公认的网络安全认证(如ISO27001)
其他,请说明
未提出具体保证要求
不了解
15. 贵院是否实施关键绩效指标(KPI)以衡量供应链网络安全管理实践?
是(如:量化指标,如漏洞响应时间、审计结果合格率等)
否(未建立KPI)
部分符合(如:仅有部分指标或未完全量化)
不了解
16. 贵院是否定期评估供应商遵守网络安全要求的实际表现?
是(如:通过审计、报告或现场检查评估)
否(未开展评估)
部分符合(如:仅偶尔评估或覆盖有限供应商)
不了解
17. 贵院是否确保供应链风险评估结果纳入合同决策和管理流程?
是(如:评估结果影响合同签订和管理策略)
否(风险评估与合同管理脱节)
部分符合(如:仅部分结果被纳入)
不了解
18. 贵院是否要求供应商和分包商报告其网络安全事件或违规情况?
是(如:合同或制度中有明确报告流程)
否(未要求供应商报告安全事件)
部分符合(如:仅部分供应商或事件类型要求报告)
不了解
19. 贵院是否对供应商和分包商提供培训或指导以满足网络安全要求?
是(如:提供培训、指导材料或最佳实践指南)
否(未提供任何培训或指导)
部分符合(如:培训或指导仅覆盖部分供应商)
不了解
20. 贵院是否记录供应商和分包商的安全认证和审计结果?
是(如:有完整记录并纳入风险管理)
否(未记录相关信息)
部分符合(如:仅记录部分供应商或部分认证)
不了解
21. 贵院是否根据供应商风险等级调整网络安全要求?
是(如:高风险供应商有更严格要求,低风险有相应控制)
否(所有供应商要求一致,无风险区分)
部分符合(如:仅部分供应商风险分级管理)
不了解
22. 贵院是否将供应链网络安全管理纳入整体信息安全管理体系(ISMS)?
是(如:供应链安全是ISMS的一部分,定期审核)
否(供应链安全独立于ISMS)
部分符合(如:仅部分流程纳入ISMS)
不了解
23. 贵院是否对供应链网络安全管理实践进行持续改进?
是(如:通过审计、KPI、事件反馈持续优化流程)
否(未进行持续改进)
部分符合(如:偶尔改进,但无系统流程)
不了解
关闭
更多问卷
复制此问卷