4.4 供应商引入安全

在软件供应商引入阶段及签订合同时需做重点把关，这对于企业影响巨大。在软件供应商引入时对其进行试用与引入安全审查，确保采购的软件符合企业需求，避免后续因软件与企业实际业务存在差异而导致业务中断风险。同时，对合同条款进行全面审查，明确各项责任和义务，避免未来可能出现的纠纷，降低法律风险。软件供应商引入制度可以保护企业利益，如在价格、服务质量、技术支持等方面得到最优惠条件等；还能够提高采购效率，加快采购流程，减少沟通成本。

在与供应商签订合同时，需注意以下几点。

（1）认真审查合同条款，特别是保密、风险分担、维护和支持等方面的内容。

（2）关注软件的授权范围、使用期限、许可协议、升级和更新等条款。

（3）明确软件安全开发过程需求，明确软件安全需求和数据安全需求。例如，明确软件供应商在使用第三方组件时的安全要求、版本要求等，提供组件黑名单，禁止软件开发过程中引入黑名单组件。

（4）明确软件安全事件处理服务标准，规定软件安全事件响应时间、修复时间要求、修复结果要求等。

（5）约定软件供应商如出现破产、断供等情况时，可技术提纯、代码备份，提供第三方依赖和许可清单、核心开发人员联系方式等。

（6）明确软件交付时，一并交付的各类资料，如项目可行性研究报告、需求规格说明书、系统架构设计文档、源代码和编译文件、测试计划和测试报告、用户手册和技术文档、培训材料、运行环境配置说明、上线部署脚本和指南等。

（7）确认软件供应商能够提供足够的技术支持和培训服务，并确定相应的费用和服务级别协议。

（8）确定软件使用所需的硬件和系统要求，确认供应商是否满足这些要求，并核对最终成本。

（9）确认合同中的付款方式、费用和发票开具等相关事项，并仔细审查价格和费用结构。

（10）确认软件供应商是否具备与合同描述、测试结果一致的质量标准和测试流程，以确保软件质量符合行业标准和用户需求。

（11）确认合同中的知识产权归属和使用权，尤其是在定制开发时。

（12）注意法律责任和争议解决条款，并考虑在合同中包含适当的互惠损害赔偿或违约金等条款。 Kh8auSoA7xmQyfJ53I+q6REbaIdE+F025yFbKdHcEsiu7uS67glh3+HwTs0metK3