供应链安全管理办法.docxVIP

供应链安全管理办法 第一章总则 第一条按照“源头管控、安全可靠、持续监管、风险可控”原则，选择合规合格的供应商，保障其为中心提供符合安全要求的产品与服务，加强风险控制，消除供应链不安全隐患。 第二条本办法适用于向中心提供产品和服务的所有供应商，包括但不限于规划设计、开发建设、网络安全产品、IT产品、网络运维、技术检测、等级检测、风险评估、安全整改，安全测评等单位。 第二章职责划分 第三条网络安全领导小组办公室职责包括： 1.负责组织供应链安全日常管理工作。 2.负责根据供应链安全工作的要求和规范，制定内部的安全检查计划及方案，上报中心网络安全领导小组。 3.负责定期组织对项目开展安全技术检测及整改工作，检测整改情况上报中心网络安全领导小组。 4.制定完善供应链安全事件的应急响应预案，及时处置上报重大安全隐患。 5. 第四条各网络责任部门职责包括： 1.负责本部门项目的建设、开发、运维过程中供应链安全管理。 2.负责调研项目相关供应商符合信息安全要求的相关资质，确认供应商已建设符合国家标准的信息安全体系。 3.负责与供应商签订安全协议。 4.负责对第三方人员的安全教育，重要岗位人员进行背景调查并签订保密协议。 5.负责定期对项目进行漏洞修复 第三章安全建设管理规定 第五条各网络责任部门应检查项目中使用的包括电子邮件系统、网络监控软件、文件共享平台、源代码仓库、VPN产品、云桌面系统、虚拟化软件、视频会议软件、财务软件、行业专用、数据库等软件、中间件及网络设备、安全设备、服务器、手持设备等硬件，查清重要供应链产品的版本、型号、生产厂商、开发类型、涉及操作系统、是否有信息回传厂商及回传信息的主要内容等基本要素，形成供应链产品清单并上报网络安全领导小组办公室备案。 第六条各网络责任部门应对关键基础设施、重要网络和大数据提供服务和产品的供应链企业进行梳理排查，主要包括设计方、开发方、承建方、网络安全产品提供方、信息化产品提供方、运维方、安全服务提供方、信息安全测评方及其他参与方等企业，形成供应链企业清单。 第七条各网络责任部门应根据供应链产品清单，检查各供应商销售许可证并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品开展安全自查和技术检测，最终形成供应链产品安全隐患清单并上报网络安全领导小组办公室备案。 第八条各网络责任部门应检查各供应商销售许可证并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品开展安全自查和技术检测，形成供应链产品安全隐患清单并上报网络安全领导小组办公室备案。 第十条各网络责任部门应根据供应链产品安全隐患清单、供应链企业安全隐患清单开展供应链产品、企业安全隐患整改，形成供应链安全隐患整改清单并上报网络安全领导小组办公室备案。 第十一条项目涉及的市场采购软件产品需满足信息安全规范要求，定制开发软件必须通过第三方评测机构的审查。 第四章安全运维管理规定 第十二条各网络责任部门应将供应链安全例行检查纳入日常运维工作中，相关检查结果记录留档备查。 第十三条各网络责任部门应根据项目变更情况及时更新供应链产品安全清单及供应链企业安全清单，组织自查并更新供应链产品安全隐患清单及供应链企业安全隐患清单，及时整改并形成供应链安全隐患整改清单，更新间隔时间不宜超过一年。 第五章外包及第三方管理 第十四条各网络责任部门应重视供应链安全管理。应选择具有相关专业资质的单位提供外包服务，严格界定外包服务业务范围和工作内容，明确敏感信息访问、处理等所有相关的安全要求，签订保密协议，并对外包服务单位工作人员进行必要的背景审查和保密审查，关键岗位严禁由外包人员担任。 第十五条对接触核心系统、数据或拥有管理权限的外部人员需要进行背景审查和保密审查，提出书面申请后，经网络责任部门同意批准后上报网络安全领导小组办公室备案。 第十六条各网络责任部门对外部人员进场开展运维和技术服务应建立登记备案制度，通过专人全程陪同或堡垒机等技术手段监测操作行为，规范外包服务人员的终端接入，严禁非授权接入和操作，严禁复制和泄露任何敏感信息。 第十七条外包服务人员因履行服务内容需要带出的设备、资料和介质均需事先审核批准，并记录带出人、带出时间、归还时间和用途等。 第十八条外包服务人员对开展工作所需的各类账户，须向被服务部门提前申请并获得批准。各部门应遵循“最小权限原则”合理分配外包服务人员操作权限，减小外包服务人员误操作或滥用权限导致发生各种意外事件带来的影响。 第十九条各部门应加强对外包服务人员变更管理，建立完善的变更流程。外包服务团队中人员若需变更，须向被服务部门申请并获得批准及备案。 第二十条外包服务项目结束时，归还所有属于中心或责任部门的设施设备，视具体情况冻结或删除该服务项目所需的全部账号，关闭所有本地或远程访