内部使用 产品采购安全管理制度 版本号状态拟稿和修改时间说明 V1.0新建 2021/02/10 V2.0修改 2023/4/2第一章总则 第一条目的 为了加强北京思度文库股份有限公司（以下简称“公司”） 产品采购管理 ， 指导产品采购合同签订和实施过程监督管理，防范和控制公司产品采购的信息 安全风险，制定本制度。 第二条适用范围 本制度适用于公司产品采购的过程。 第二章术语定义 第三条产品采购 指公司对外购买软硬件产品，用于公司的信息化建设。 第四条供应商 是指公司提供软硬件产品，或承接公司 IT工作的企业。第三章岗位职责 第五条采购管理部门 负责管理符合公司要求的 IT产品与服务供应商。 第六条产品管理部门 负责产品采购服务协议的内容制订和合同签订 ,负责在项目执行过程中对供 应商人员和服务进行监督。 第四章采购要求 第七条供应商的选择 (一)采购管理部门在对供应商进行评估和选择时应考虑供应商的信息安 全资质，审核供应商资质信息真实性： (二)供应商提供的产品和服务是否符合国家法律法规和各级监管机构的 监管要求，并且经过公司审批供应商是否有信息安全违规事件历史； (三)采购管理部门及时根据实际情况维护和更新供应商清单。 第八条合同签订 (一)管理部门与供应商签订合同时，应注意以下内容： (二)应要求供应商对外包服务人员进行背景调查，并对调查结果负责； (三)应有明确的保密条款，或包含《保密承诺函》作为合同附件。必要 时还应要求外包人员签署保密承诺；(四)应要求供应商遵守公司各项相关的管理规定； (五)应明确项目过程中的信息安全管理要求，尤其是出现信息安全相关 问题时，对处理措施和流程的要求，如异常事件的处理流程、响应机制等； (六)应明确项目最终交付物要达到的安全标准，如信息系统的安全功能 服务的连续性等，并将此作为验收的内容之一； (七)应明确供应商所提供产品及相关服务的知识产权归属。 第九条实施过程管理 (一)实施过程中，管理部门应监督供应商在服务执行过程中对信息安全 要求的遵从情况，对于违反信息安全要求的行为应及时进行纠正。情 节严重者 还应及时 通知采购部门，作为采购部门考核供应商的 参考依据。 (二)管理部门应定 期对IT采购存在的风险进行评估，并对 高风险情况采 取控制措施。 可能的风险包 括但不限于：软件 开发的安全漏洞；知识产权的 非 法转移；为公司提供服务的关 键技术人员的 变动；未经许可将服务转包或分包。 第十条驻场外包人员管理 管理部门应安 排专人负责驻场外包人员的安全管理，对 驻场外包人员的信 息安全行为进行监督管理，包 括但不限于： (一)要求外包人员遵从公司信息安全管理要求； (二)明确外包人员的工作职责，采 取相应措施限制其对 非授权信息资 源 的访问权限； (三)限定驻场外包人员的工作 区域，未经授权不得随意访问其他区域； (四)限定驻场外包人员的工作时间，如 需在非工作时段驻场工作，需要 提前进行申请，并经过相关管理部门批准 后方可进行。 第五章附则 本制度是公司安全部制定，负责 解释和修订。本制度从2023年8月1日开始实施。