第一章 总则 第一条 目标 为规避北京思度咨询股份有限公司(以下简称公司)上下游数据供应过程中可能出现的安全风险，根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》 《中华人民共和国个人信息保护法》，结合集团公司实际情况，制定本办法。 第二条 适用范围 本办法适用于集团公司总部，各分子公司、基层企业。 第三条 基本原则 数据供应商选择和管理应遵循合法合规从严挑选原则， 数据传输应遵循最小授权原则。 第四条 术语 数据供应链是数据生产及流通过程中， 涉及将数据产品或服务提供给最终用户所形成的网链结构。 数据供应链安全管理的核心是厘清各方权力责任边界， 对各方数据交互行为进行合规管理，防范组织上下游的数据供应过程中的安全风险。 第二章 组织与职责 公司采购部负责公司范围内数据供应商的整体管理。 公司信息安全部负责数据供应商数据安全防护能力评估。 第三章 供应商管理 第五条 供应商准入 (一) 具有独立法人资格，提供营业执照、税务登记证、组织机构代码证等相关证件； (二) 了解公司的生产经营情况和采购需求； (三) 供应商必须服从公司的管理，严格遵守公司各项规章制度； (四) 对接系统应通过公安部等保3级测评或ISO27001测评。 第六条 供应商管理 建立公司数据相关服务供应商管理台账， 统一录入公司的采购平台进行管理，能够进行实时查询，合作结束的供应商，对接人需要及时在系统中更改供应商状态。 第七条 供应商责任约定 合同中应明确数据服务商对数据具有机密性、完整性和可用性的义务。 第八条 供应商考核 考核原则:量化考评，公平竞争，优胜劣汰 (一) 由相关产品部门负责组织，销售、风险控制管理中心等组成供应商考核评价小组； (二) 考核评价小组对供应商产品的质量、价格、供货时间、服务等做出综合评价，原则上每年不得少于一次； (三) 考核得分90分及以上的为A类，考核得分在70分-89分之间的为B类，考核得分在60分-69分之间的为C类，考核得分在60分以下的，不得列入《合格供应商名录》； (四) 风险控制管理中心负责汇总考核评价结果，报营销委员会审核，提交经营委员会批准。 第四章 监督检查 对于谈判人及谈判小组成员， 按照采购成本节约额的一定比例发放采购节约奖金。采购成本节约额以当期执行的《供应商名录》中的采购价格与实际采购价格的差额乘以当月采购下单量综合计算。 产品部门以外的人员向公司推荐供应商的， 经准入评审确定为合格供应商的，自纳入《合格供应商名录》之日起一年内，有权参加采购节约奖金的分配。 采购节约奖金按月发放，由谈判人负责计算、分配，金额由风险控制管理中心负责审核，分配方案报营销委员会备案。 对于相关人员未能履行职责，影响项目按期交付的，将按照六时点工作法的规定进行处罚。 风险控制管理中心负责拟定处罚意见， 报营销委员会批准后执行。 第五章 附则 本办法由公司信息中心负责解释。 本办法自发布之日起执行。