组织管理

评估供应商内部的网络安全管理架构，确保有足够的人力和资源投入到网络安全管理中。

资产管理

要求供应商详细列出其IT资产，确保所有系统和设备都在有效管理范围内。

系统与网络安全

系统安全：审查供应商的系统安全性，确保其能够防止未经授权的访问与数据泄露。

网络安全：重点评估供应商的网络架构，确保网络安全防护措施（如防火墙、入侵检测系统等）能够有效应对外部威胁。

备份与恢复

要求供应商对其IT系统定期进行数据备份，并具备数据恢复能力，以应对潜在的数据丢失或系统中断。

身份与权限管理（IAM/PAM）

审查供应商的身份与权限管理系统，确保只有经过授权的人员能够访问敏感数据与系统。

IT应急管理/业务连续性管理（BCM）

要求供应商建立IT应急管理机制，确保在突发网络安全事件或系统中断时，能够保证业务连续性。

安全事件管理

供应商需要建立完善的安全事件管理流程，以便在安全事件发生时，能够及时报告、处理和解决。

事件响应与恶意软件防护

事件响应：供应商需要具备快速响应网络安全事件的能力，确保其能够在安全事件中迅速采取措施。

恶意软件防护：供应商需要安装和使用有效的恶意软件防护工具，防止病毒、木马等恶意软件对系统的入侵。

漏洞管理

供应商需要定期进行漏洞扫描，并及时修补发现的漏洞，以确保系统的安全性。

AD安全

审查供应商的Active Directry（AD）安全设置，确保其能够有效管理和控制用户访问权限。