2023新能源集控中心供应链管理制度

—PAGE6—PAGE新能源集控中心供应链管理制度第一章总则第一条为加强XXXX公司（新能源）集控中心（以下简称集控中心）供应链的管理，确保供应链安全可靠，提高服务安全和服务质量，特制定本管理办法。第二条本管理办法编制依据《网络安全法》、《关键信息基础设施安全保护条例》、《信息安全技术信息技术产品供应方行为安全准则》（GB/T32921—2016）、《XXXX公司供应商管理办法》等法律法规和标准制度。第三条供应链指为满足供应关系通过资源和过程将需求方、供应方相互连接的网链结构，可用于将信息技术产品提供给需求方。第四条信息技术产品指具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统和服务等。第五条需求方指获取信息技术产品的单位。第六条供应方指提供信息技术产品的单位或组织。第二章管理职责第七条集控中心供应链管理部门为信息管理部，负责对集控中心的信息系统、关键信息基础设施的信息技术产品供应链的安全管理。第八条集控中心各部门负责提出需求方信息技术产品要求，对供应方的服务质量予以监督，配合供应链管理机构（部门）对供应方进行评估工作。第九条管理机构（部门）对供应链管理主要职责：（一）确保通过采购文件、服务协议等要求供应方符合第三章规定的要求；（二）建立和维护合格供应方目录（台帐），目录（台帐）中的供应方应没有出现因政治、外交、贸易等因素中断信息技术产品、芯片等元器件、材料供应，停止软件授权、升级或技术支持服务的先例。（三）从多个国家或地区获得信息技术产品及其部件，确保来源具有多样性。（四）定期评估信息技术产品供应中断、停止授权、拒绝提供产品升级或技术支持服务的风险，确保供应链弹性；在约定的期限内，要求供应方提供信息技术产品供应链安全风险评估报告。（五）定期组织开展供应方执行能力及安全能力评估。第三章供应方安全要求第十条产品、设备应具有完善的销售许可证、著作权证明等符合国家、行业标准的证明，安全产品还应具备专业检测机构检测报告。第十一条保证发现信息技术产品存在安全缺陷、漏洞、代码泄露、原料供应中断等风险时，立即采取补救措施，包括但不限于漏洞修复、安全替代方案、应急响应方案等，并及时通知合作伙伴和需求方。第十二条保证不会通过在信息技术产品中设置后门，或利用提供产品的便利条件非法获取用户数据、控制和操纵用户系统和设备，不会利用需求方对信息技术产品的依赖性谋取不正当利益，不会出于市场竞争的需要强迫需求方对信息技术产品进行升级或更新换代。第十三条建立信息技术产品安全开发流程，明确开发管理要求、安全控制措施和人员行为准则等。第十四条提供所采购的信息技术产品及部件的可追溯性，记录并保留信息技术产品及部件的原产地、原供应方等相关信息。第十五条提供物流服务供应方、物流路线的安全策略，记录和保留信息技术产品及部件的仓储、运输和交付等状态。第十六条在规定或者与需求方约定的期限内，不应终止提供安全维护；在需求方授权的范围内开展运行维护工作，保障信息技术产品运行维护过程中的数据安全，防止数据泄露、篡改、损毁，未经需求方同意不得向他人提供数据或将数据用于除运行维护以外的目的。第十七条对信息技术产品研发、制造过程中涉及的外国实体拥有或控制的技术专利和知识产权，获得十年以上授权。第十八条提供中文版运行维护、二次开发等技术资料。第十九条供应商的服务工程师岗位出现调动、离职异常情况时，供应商应在3天内进行报备，以便我公司管理相关人员的账号、权限和流程变更工作。第四章供应方的选择第二十条供应方评选可采取资料评估、现场调研相结合的方式：（一）供应方评选主要采取资料评估方式，可以通过咨询供应方历史客户意见等方式核实资料的真实性；（二）重大项目的供应方评选可以采取现场调研方式，组织需求方相关人员对供应方进行实地考察；（三）优先选择安全保护措施符合国家法律法规安全要求，组织运转过程和安全措施相对透明；（四）优先选择承诺遵照本单位相关制度规定提供信息技术产品的；（五）优先选择声明不使用有恶意代码产品或假冒产品的；（六）优先选择供应方员工可信任的；（七）优先选择使用可信或可控的分发、交付和仓储的；（八）优先选择限制从特定供应方或国家采购产品和服务的。第五章供应链生命周期管理第二十一条建立供应链背景分析台账，包含供应链背景信息、供应方基本信息、产品和服务基本信息、供应链结构、合作物流、利益相关者等信息。第二十二条应对供应链安全威胁进行评估，包含恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作等内容。第二十三条应对供应链安全风险进行监督和检查，包含组织资产变更、新增威胁与漏洞、供应链安全事件等内容。第二十四条建立供应链安全审计流程，包括技术事件：软件、硬件、数据等的变更、移除和迁移，对访问控制和身份鉴别的监测等；非技术事件：采购或合同流程的变更，合同内容的变更，合同履行能力的变更等。第二十五条对审计事件的安全威胁制定应对策略和问责机制，可视情况采取暂停执行、完善整改、中止合同、列入采购黑名单等措施。第二十六条应制定供应链安全应急计划，标识关键业务流程和产品，进行影响分析，确定优先级别，制定替代计划或恢复计划，确保发生安全事故时，可以维持核心功能。第六章附则第二十七条本规定由新能源集控中心信息管理部负责解释。第二十八条本规定自发布之日起执行。

附表：供应链安全威胁类型描述示例恶意篡改在信息技术产品供应链的设计、开发、采购、生产、仓储、物流、维护、返回等某一环节，对信息技术产品进行恶意篡改、植入、替换等恶意程序、木马、未经授权的配置修改、供应信息篡改等假冒伪劣信息技术产品或上游组件存在侵犯知识产权、质量低劣等问题不合格产品、未经授权的生产、假冒产品供应中断由于人为、自然或社会环境等原因，造成信息技术产品的供应量和