5.5　供應鏈管理

5.5　供應鏈管理

5.5.1　數據供應鏈

5.5.1.1　一般要求

大數據服務提供者應：
a) 建立數據供應鏈安全管理規范和安全方針，明確數據供應鏈安全目標、原則和范圍。
b) 確保數據供應鏈上下游對數據交換、使用和利用符合法律法規，并有技術保障措施。
c) 明確數據供應鏈上下游責任和義務，確保數據供應鏈相關數據服務真實可用。
d) 通過合作協議方式明確大數據服務數據供應鏈中數據的使用目的、供應方式、保密約定等。
e) 建立數據供應鏈目錄和相關數據源數據字典，明確數據供應鏈的責任部門和人員。

5.5.1.2　增強要求

大數據服務提供者應：

5.5.2　IT供應鏈

5.5.2.1　一般要求

大數據服務提供者應：
a) 建立IT供應鏈安全管理規范和安全方針，明確IT供應鏈篩選機制、篩選指標和評價方法。
b) 對IT供應鏈參與方進行背景調查，明確他們參與大數據服務的角色和責任。
c) 明確IT供應鏈中數據源規范化機制和接口使用規范。
d) 采取必要的IT技術和管控措施落實IT供應鏈服務商替代措施。

5.5.2.2　增強要求

大數據服務提供者應：
a) 建立IT供應鏈考核評價機制和評價反饋機制，定期對IT供應鏈進行風險評估和考核。
b) 建立IT供應鏈中外包管理規程并制定安全管控措施，定期評估大數據服務IT外包安全。