供应链安全管理办法

供给链安全治理方法第一章总则第一条依据“源头管控、安全牢靠、持续监管、风险可控”原则，选择合规合格的供给商，保障其为中心供给符合安全要求的产品与效劳，加强风险掌握，消退供给链担忧全隐患。其次条本方法适用于向中心供给产品和效劳的全部供应商，包括但不限于规划设计、开发建设、网络安全产品、IT产品、网络运维、技术检测、等级检测、风险评估、安全整改，安全测评等单位。其次章职责划分第三条网络安全领导小组办公室职责包括：负责组织供给链安全日常治理工作。负责依据供给链安全工作的要求和标准，制定内部的安全检查打算及方案，上报中心网络安全领导小组。负责定期组织对工程开展安全技术检测及整改工作，检测整改状况上报中心网络安全领导小组。制定完善供给链安全大事的应急响应预案，准时处置上报重大安全隐患。5.第四条各网络责任部门职责包括：负责本部门工程的建设、开发、运维过程中供给链安全治理。负责调研工程相关供给商符合信息安全要求的相关资质，确认供给商已建设符合国家标准的信息安全体系。负责与供给商签订安全协议。负责对第三方人员的安全教育，重要岗位人员进展背景调查并签订保密协议。负责定期对工程进展漏洞修复第三章安全建设治理规定第五条各网络责任部门应检查工程中使用的包括电子邮VPN产行业专用、数据库等软件、中间件及网络设备、安全设备、效劳器、手持设备等硬件，查清重要供给链产品的版本、型号、生产厂商、开发类型、涉及操作系统、是否有信息回传厂商及回传信息的主要内容等根本要素，形成供给链产品清单并上报网络安全领导小组办公室备案。第六条大数据供给效劳和产品的供给链企业进展梳理排查，主要包括设计方、开发方、承建方、网络安全产品供给方、信息化产品供给方、运维方、安全效劳供给方、信息安全测评方及其他参与方等企业，形成供给链企业清单。第七条供给商销售许可证并承受源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品开展安全自查和技术检测，最终形成供给链产品安全隐患清单并上报网络安全领导小组办公室备案。第八条各网络责任部门应检查各供给商销售许可证并承受源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品开展安全自查和技术检测，形成供给链产品安全隐患清单并上报网络安全领导小组办公室备案。第九条供给商组织架构、软件类别、软件来源、软件功能、软件源代码量、软件开发语言及供给商自身企业网络整体安全建设内容，形成供给链企业安全隐患清单并上报网络安全领导小组办公室备案。第十条各网络责任部门应依据供给链产品安全隐患清单、供给链企业安全隐患清单开展供给链产品、企业安全隐患整改，形成供给链安全隐患整改清单并上报网络安全领导小组办公室备案。第十一条工程涉及的市场选购软件产品需满足信息安第四章安全运维治理规定各网络责任部门应将供给链安全例行检查纳入日常运维工作中，相关检查结果记录留档备查。第十三条各网络责任部门应依据工程变更状况准时更供给链产品安全清单及供给链企业安全清单，组织自查并更供给链产品安全隐患清单及供给链企业安全隐患清单，准时整改并形成供给链安全隐患整改清单，更间隔时间不宜超过一年。第五章外包及第三方治理第十四条各网络责任部门应重视供给链安全治理。应选择具有相关专业资质的单位供给外包效劳，严格界定外包效劳业务范围和工作内容，明确敏感信息访问、处理等全部相关的安全要求，签订保密协议，并对外包效劳单位工作人员进展必要的背景审查和保密审查，关键岗位严禁由外包人员担当。第十五条对接触核心系统、数据或拥有治理权限的外部人员需要进展背景审查和保密审查，提出书面申请后，经网络责任部门同意批准后上报网络安全领导小组办公室备案。第十六条各网络责任部门对外部人员进场开展运维和技术效劳应建立登记备案制度，通过专人全程伴随或堡垒严禁非授权接入和操作，严禁复制和泄露任何敏感信息。第十七条外包效劳人员因履行效劳内容需要带出的设备、资料和介质均需事先审核批准，并记录带出人、带出时间、归还时间和用途等。第十八条外包效劳人员对开展工作所需的各类账户，须向被效劳部门提前申请并获得批准。各部门应遵循“最小权限原则”合理安排外包效劳人员操作权限，减小外包效劳人员误操作或滥用权限导致发生各种意外大事带来的影响。第十九条各部门应加强对外包效劳人员变更治理，建立完善的变更流程。外包效劳团队中人员假设需变更，须向被效劳部门申请并获得批准及备案。其次十条外包效劳工程完毕时，归还全部属于中心或责任部门的设施设备，视具体状况冻结或删除该效劳工程所需的全部账号，关闭全部本地或远程访问通道。第六章风险管控和预警应急其次十一条应每年对供给商开展一次信息安全评估工作，并保存评估记录。其次十二条各网络责任部门应对有关部门通报的安全风险隐患和预警准时组织处置，准确研判受漏洞等威逼元素影响的供给链产品并整改修复，无法修复的应实行必要补救措施掌握风险。主动准时把握供给链产品和效劳相关的安全信息，对通用型产品和效劳的风险漏洞，运行单位应在厂商和安全机构修复方案公开公布后马上核查整改。因技术条件限制，不能按期整改但需连续运行的，应实行必要措施，避免发生安全大事，并报告网络安全领导小组办公室。其次十三条各网络责任部门应加强供给链安全大事应定期开展应急演练，有条件的乐观开展实战攻防演练，并根据演练结果完善应急预案，相关演练打算、脚本、记录、总结等资料留档提交网络安全领导小组备查。其次十四条大事类型和级别，马上启动应急预案，做好大事处置，最大程度削减损失和危害，准时开展信息通报。其次十五条完成大事调查和评估工作，对大事的起因、性质、影响、责任等进展分析评估，提出处理意见和改进措施。1

工程责任部门填报人工程责任部门填报人序号类型企业名称所属省市具体地址联系人联系2

工程责任部门工程责任部门填报人填报涉及的操作是否有序号类型产品名称生产厂商版本号开发类型系统传回3

工程责任部门工程责任部门填报人7检查系统的数据存取记录。系统是否有非法作业或程序曾在系统中运行是否正常运行当天应当执行的作业8检查生产系统的联机和批处理作业的运行日志。是否执行了特别作业或临时作业是否曾修改正系统重要参数序号检查项检查结果1检查选购的软件产品是否通过了国家网络安全审查2检查选购的软件产品是否通过第三方测评机构的审查3检查软件设