附件3：xx单位 供应链安全自查表（内有产品清单-企业清单-自查表三项）(1).xlsVIP

自查表 企业清单 产品清单 供应链附件1-产品清单 运营单位涉及供应链产品清单 备注：针对运营单位所有系统涉及的第三方产品基本信息，表中列举的系统类型仅供梳理启发用，包含但不限于以下系统。 运营单位 责任部门 填报人 手机号 填报日期 序号 类型 产品名称 生产厂商 版本号 开发类型 涉及的操作系统 是否有信息传回厂商（是或否） 回传信息主要内容 是否为外国产品（填“国别名”或“否”） 备注 供应链附件2-企业清单 运营单位涉及供应链企业清单 备注：针对运营单位所有系统涉及的第三方企业基本信息，以本单位系统名称为逻辑顺序逐个系统填写其设计方、开发方、承建方…等，表格向下复制延伸。 系统名称 企业名称 所属省市（具体到市区） 具体地址（详细到门牌号） 联系人 联系电话 服务内容 是否为外国企业（填“国别名”或“否”） 设计方 开发方 承建方 网络安全产品提供方 信息化产品提供方 运维方 安全服务提供方 信息安全测评方 其他参与方（自填具体参与方，超过一家自行增加行数） 供应链附件3-自查表 运营单位供应链安全管理风险自查表(针对本单位所有系统) 自查单位 检查类 检查项 描述 证明材料 检查情况（客观具体情况） 合规情况（自我客观判定，填符合、不符合、部分符合、不适用） 组织 是否将供应链管理纳入本单位信息安全管理职能？若已纳入，具体在哪个职能部门？ 流程与政策 是否有供应链安全管理相关的工作内容等要求？ 如产品供应链安全建设五步走的工作内容，分别是摸排制定供应链产品清单、梳理制定供应链企业清单、梳理制定供应链产品安全隐患清单、梳理制定供应链企业安全隐患清单、梳理制定供应链安全隐患整改“清零”清单 检查供应链安全管理工作内容相关发文资料 本单位安全事件应急响应方案是否涉及供应链安全内容？ 针对供应链安全事件的应急响应预案 检查是否有产品安全事件应急响应方案 供应商管理 是否要对供应商提出了信息安全规范要求？ 要求供应商建设符合国家标准的信息安全体系。 供应商信息安全管理规定文件 是否建立了对供应商的信息安全准入机制？ 满足一定信息安全要求的供应商才能进入供应商清单。 是否制定了对供应商的信息安全检查项？ 对供应商的信息安全检查项，例如网络安全检查项、计算环境安全检查项、开发流程检查项等。 供应商信息安全检查内容 是否制定了对供应商的信息安全检查机制？ 对供应商定期开展信息安全检查。 是否与供应商签署安全协议？ 通过与供应商达成的协议,确保供应商满足企业的安全要求 检查是否有已签署的网络安全协议扫描件 供应商是否提供了该软件产品涉及到的开源产品清单？ 开源产品清单 是否有供应商通过远程接入本单位？哪些供应商？以何种方式？ 如有供应商可通过VPN、专线等形式访问到本单位网络，请详细描述。 拓扑、清单 是否有应用系统与其供应商保持长期连接？哪些供应商？以何种方式？ 如有应用系统与其供应商以互联网、VPN、专线等形式保持长连接，请详细描述。 是否具备软件安全分析能力？ 包括静态结构分析、动态跟踪分析、沙箱行为分析等。 安全分析系统检查记录。 人员管理 是否对接触核心系统、数据或拥有管理权限的外单位人员进行背景审查和保密审查？ 是否有对建设、开发、运维等人员工作内容的监管机制和措施？ 是否掌握和控制建设、开发、运维人员工作过程中所接触的系统和网络边界？ 是否与第三方人员签署保密协议？ 产品安全审查 采购的软件产品是通过第三方测评机构的审查？ 是否具备供应链产品高危漏洞影响范围评估能力？ 能够准确检索受到高危漏洞等威胁元素影响的所有供应链产品的能力 检查是否有相关工具来评估高危漏洞影响范围 源代码审计 是否有源代码安全管控制度？ 版权控制，防止源代码泄露 检查是否有源代码安全管控制度 是否具备源代码安全审计能力？ 上线前源代码缺陷检测工具 检查是否有源代码安全审计工具 产品开发 安全管理 是否具有自主开发系统的能力？ 是否有自主开发能力 是否具备产品开发生命周期安全管理流程（SDL）？ 包括产品安全需求设计管理，开源组件安全管理，源代码自动化周期检测，软件安全测试管理等 检查是否有SDL流程文件 统一安全管理 是否有软件系统的专门下载或升级服务器？ 专门用于下载和升级软件系统的服务器 检查是否有专门的下载或升级服务器 漏洞发现处置 是否具备漏洞监测、定位和修复能力？ 漏洞监测、定位和修复工具，是为了能对现有应用产品主动、持续的进行监测，遇有新漏洞出现的时候，也能主动、持续的审查自身产品的安全性，及时定位漏洞所在位置，并提供自动化修复 检查是否有自动化漏洞监测、定位和修复工具 数据库 服务器 沃芬医疗器械商贸（北京）有限公司 IT部门 米银辉2022.8.30 mySQL 中间件 apache2 前端 沃芬官网系统