供应链安全管理办法.pdfVIP

供应链安全管理办法

供应链安全管理办法

第一章总则

按照“源头管控、安全可靠、持续监管、风险可控”原则，

选择符合安全要求的合规合格供应商，保障其为中心提供的产

品和服务符合安全要求，加强风险控制，消除供应链不安全隐

患。

本办法适用于所有向中心提供产品和服务的供应商，包括

但不限于规划设计、开发建设、网络安全产品、IT产品、网

络运维、技术检测、等级检测、风险评估、安全整改、安全测

评等单位。

第二章职责划分

网络安全领导小组办公室的职责包括：

1.负责组织供应链安全的日常管理工作。

2.根据供应链安全工作的要求和规范，制定内部的安全检

查计划及方案，并上报中心网络安全领导小组。

3.定期组织对项目开展安全技术检测及整改工作，检测整

改情况并上报中心网络安全领导小组。

4.制定完善供应链安全事件的应急响应预案，及时处置并

上报重大安全隐患。

各网络责任部门的职责包括：

1.负责本部门项目的建设、开发、运维过程中的供应链安

全管理。

2.调研项目相关供应商符合信息安全要求的相关资质，确

认供应商已建设符合国家标准的信息安全体系。

3.与供应商签订安全协议。

4.对第三方人员进行安全教育，对重要岗位人员进行背景

调查并签订保密协议。

5.定期对项目进行漏洞修复。

第三章安全建设管理规定

各网络责任部门应检查项目中使用的软件、中间件及网络

设备、安全设备、服务器、手持设备等硬件，查清重要供应链

产品的版本、型号、生产厂商、开发类型、涉及操作系统、是

否有信息回传厂商及回传信息的主要内容等基本要素，形成供

应链产品清单并上报网络安全领导小组办公室备案。

各网络责任部门应对关键基础设施、重要网络和大数据提

供服务和产品的供应链企业进行梳理排查，主要包括设计方、

开发方、承建方、网络安全产品提供方、信息化产品提供方、

运维方、安全服务提供方、信息安全测评方及其他参与方等企

业，形成供应链企业清单。

各网络责任部门应根据供应链产品清单，检查各供应商销

售许可证并采用源代码安全审计、开源组件安全检查、软件安

全性深度测试等技术检测手段对产品开展安全自查和技术检测，

最终形成供应链产品安全隐患清单并上报网络安全领导小组办

公室备案。

第八条要求各网络责任部门检查供应商的销售许可证，并

采用源代码安全审计、开源组件安全检查、软件安全性深度测

试等技术检测手段对产品进行安全自查和技术检测。检查结果

应形成供应链产品安全隐患清单，并上报网络安全领导小组办

公室备案。

第九条要求各网络责任部门对供应链企业进行调研，梳理

供应商的组织架构、软件类别、软件来源、软件功能、软件源

代码量、软件开发语言及供应商自身企业网络整体安全建设内

容。调研结果应形成供应链企业安全隐患清单，并上报网络安

全领导小组办公室备案。

第十条要求各网络责任部门根据供应链产品安全隐患清单

和供应链企业安全隐患清单，开展供应链产品和企业的安全隐

患整改。整改结果应形成供应链安全隐患整改清单，并上报网

络安全领导小组办公室备案。

第十一条规定项目涉及的市场采购软件产品必须满足信息

安全规范要求，定制开发软件必须通过第三方评测机构的审查。

第十二条要求各网络责任部门将供应链安全例行检查纳入

日常运维工作中，并将相关检查结果记录留档备查。

第十三条要求各网络责任部门根据项目变更情况及时更新

供应链产品安全清单和供应链企业安全清单，并组织自查并更

新供应链产品安全隐患清单和供应链企业安全隐患清单。整改

结果应及时形成供应链安全隐患整改清单，并更新间隔时间不

宜超过一年。

第十四条要求各网络责任部门重视供应链安全管理。应选

择具有相关专业资质的单位提供外包服务，并严格界定外包服

务业务范围和工作内容。签订保密协议，并对外包服务单位工

作人员进行必要的背景审查和保密审查。关键岗位严禁由外包

人员担任。

第十五条要求对接触核心系统、数据或拥有管理权限的外

部人员进行背景审查和保密审查，并经网络责任部门同意批准

后上报网络安全领导小组办公室备案。

第十六条要求各网络责任部门对外部人员进场开展运维和

技术服务应建立登记备案制度，并通过专人全程陪同