信息技术安全分析（ITSA）则重点关注供应商的IT系统安全，确保其具备足够的技术能力应对日常运营中的网络安全威胁。

1.组织管理

·评估供应商内部的网络安全管理架构，确保有足够的人力和资源投入到网络安全管理中。

2.资产管理

·要求供应商详细列出其IT资产，确保所有系统和设备都在有效管理范围内。

3.系统与网络安全

·系统安全：审查供应商的系统安全性，确保其能够防止未经授权的访问与数据泄露。

·网络安全：重点评估供应商的网络架构，确保网络安全防护措施（如防火墙、入侵检测系统等）能够有效应对外部威胁。

4.备份与恢复

·要求供应商对其IT系统定期进行数据备份，并具备数据恢复能力，以应对潜在的数据丢失或系统中断。

5.身份与权限管理（IAM/PAM）

·审查供应商的身份与权限管理系统，确保只有经过授权的人员能够访问敏感数据与系统。

6.IT应急管理/业务连续性管理（BCM）

·要求供应商建立IT应急管理机制，确保在突发网络安全事件或系统中断时，能够保证业务连续性。

7.安全事件管理

·供应商需要建立完善的安全事件管理流程，以便在安全事件发生时，能够及时报告、处理和解决。

8.事件响应与恶意软件防护

·事件响应：供应商需要具备快速响应网络安全事件的能力，确保其能够在安全事件中迅速采取措施。

·恶意软件防护：供应商需要安装和使用有效的恶意软件防护工具，防止病毒、木马等恶意软件对系统的入侵。

9.漏洞管理

·供应商需要定期进行漏洞扫描，并及时修补发现的漏洞，以确保系统的安全性。

10.AD安全

审查供应商的Active Direct·ry（AD）安全设置，确保其能够有效管理和控制用户访问权限。