供应链安全管理办法

时间：2024-06-10 11:31:17 管理办法我要投稿

相关推荐

供应链安全管理办法

　　第一章总则

　　按照“源头管控、安全可靠、持续监管、风险可控”原则，选择符合安全要求的合规合格供应商，保障其为中心提供的产品和服务符合安全要求，加强风险控制，消除供应链不安全隐患。

　　本办法适用于所有向中心提供产品和服务的供应商，包括但不限于规划设计、开发建设、网络安全产品、IT产品、网络运维、技术检测、等级检测、风险评估、安全整改、安全测评等单位。

　　第二章职责划分

　　网络安全领导小组办公室的职责包括：

　　1.负责组织供应链安全的日常管理工作。

　　2.根据供应链安全工作的要求和规范，制定内部的安全检查计划及方案，并上报中心网络安全领导小组。

　　3.定期组织对项目开展安全技术检测及整改工作，检测整改情况并上报中心网络安全领导小组。

　　4.制定完善供应链安全事件的应急响应预案，及时处置并上报重大安全隐患。

　　各网络责任部门的职责包括：

　　1.负责本部门项目的建设、开发、运维过程中的供应链安全管理。

　　2.调研项目相关供应商符合信息安全要求的相关资质，确认供应商已建设符合国家标准的信息安全体系。

　　3.与供应商签订安全协议。

　　4.对第三方人员进行安全教育，对重要岗位人员进行背景调查并签订保密协议。

　　5.定期对项目进行漏洞修复。

　　第三章安全建设管理规定

　　各网络责任部门应检查项目中使用的软件、中间件及网络设备、安全设备、服务器、手持设备等硬件，查清重要供应链产品的版本、型号、生产厂商、开发类型、涉及操作系统、是否有信息回传厂商及回传信息的主要内容等基本要素，形成供应链产品清单并上报网络安全领导小组办公室备案。

　　各网络责任部门应对关键基础设施、重要网络和大数据提供服务和产品的供应链企业进行梳理排查，主要包括设计方、开发方、承建方、网络安全产品提供方、信息化产品提供方、运维方、安全服务提供方、信息安全测评方及其他参与方等企业，形成供应链企业清单。

　　各网络责任部门应根据供应链产品清单，检查各供应商销售许可证并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品开展安全自查和技术检测，最终形成供应链产品安全隐患清单并上报网络安全领导小组办公室备案。

　　第八条要求各网络责任部门检查供应商的销售许可证，并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品进行安全自查和技术检测。检查结果应形成供应链产品安全隐患清单，并上报网络安全领导小组办公室备案。

　　第九条要求各网络责任部门对供应链企业进行调研，梳理供应商的组织架构、软件类别、软件来源、软件功能、软件源代码量、软件开发语言及供应商自身企业网络整体安全建设内容。调研结果应形成供应链企业安全隐患清单，并上报网络安全领导小组办公室备案。

　　第十条要求各网络责任部门根据供应链产品安全隐患清单和供应链企业安全隐患清单，开展供应链产品和企业的安全隐患整改。整改结果应形成供应链安全隐患整改清单，并上报网络安全领导小组办公室备案。

　　第十一条规定项目涉及的市场采购软件产品必须满足信息安全规范要求，定制开发软件必须通过第三方评测机构的审查。

　　第十二条要求各网络责任部门将供应链安全例行检查纳入日常运维工作中，并将相关检查结果记录留档备查。

　　第十三条要求各网络责任部门根据项目变更情况及时更新供应链产品安全清单和供应链企业安全清单，并组织自查并更新供应链产品安全隐患清单和供应链企业安全隐患清单。整改结果应及时形成供应链安全隐患整改清单，并更新间隔时间不宜超过一年。

　　第十四条要求各网络责任部门重视供应链安全管理。应选择具有相关专业资质的单位提供外包服务，并严格界定外包服务业务范围和工作内容。签订保密协议，并对外包服务单位工作人员进行必要的背景审查和保密审查。关键岗位严禁由外包人员担任。

　　第十五条要求对接触核心系统、数据或拥有管理权限的外部人员进行背景审查和保密审查，并经网络责任部门同意批准后上报网络安全领导小组办公室备案。

　　第十六条要求各网络责任部门对外部人员进场开展运维和技术服务应建立登记备案制度，并通过专人全程陪同或堡垒机等技术手段监测操作行为。规范外包服务人员的终端接入，严禁非授权接入和操作，并严禁复制和泄露任何敏感信息。

　　第十七条要求外包服务人员因履行服务内容需要带出的设备、资料和介质均需事先审核批准，并记录带出人、带出时间、归还时间和用途等。

　　第十八条要求外包服务人员对开展工作所需的各类账户，须向被服务部门提前申请并获得批准。各部门应遵循“最小权限原则”合理分配外包服务人员操作权限，减小外包服务人员误操作或滥用权限导致发生各种意外事件带来的影响。

　　第十九条规定各部门应该加强对外包服务人员变更管理，并建立完善的变更流程。如果外包服务团队中的人员需要变更，就必须向被服务部门申请并获得批准及备案。

　　根据第二十条，当外包服务项目结束时，所有属于中心或责任部门的设施设备必须归还，该服务项目所需的全部账号必须视具体情况冻结或删除，所有本地或远程访问通道必须关闭。

　　第六章涉及风险管控和预警应急。根据第二十一条规定，应该每年对供应商开展一次信息安全评估工作，并保留评估记录。

　　根据第二十二条，各网络责任部门应该对有关部门通报的安全风险隐患和预警及时组织处置。他们应该准确研判受漏洞等威胁元素影响的供应链产品并整改修复，无法修复的应采取必要补救措施控制风险。他们还应该主动及时掌握供应链产品和服务相关的安全信息，并在厂商和安全机构修复方案公开发布后立即核查整改。如果由于技术条件限制，不能按期整改但需继续运行，他们应该采取必要措施，避免发生安全事件，并报告网络安全领导小组办公室。

　　第二十三条规定各网络责任部门应该加强供应链安全事件应急管理，按照中心安全事件应急预案，强化一分钟处置措施，定期开展应急演练。如果有条件的话，他们应该积极开展实战攻防演练，并根据演练结果完善应急预案。相关演练计划、脚本、记录、总结等资料应该留档提交网络安全领导小组备查。

　　根据第二十四条，安全事件发生后，各网络责任部门应该根据事件类型和级别，立即启动应急预案，做好事件处置，最大程度减少损失和危害，并及时开展信息通报。

　　第二十五条规定安全事件处置完成后，网络责任部门应该及时完成事件调查和评估工作，对事件的起因、性质、影响、责任等进行分析评估，并提出处理意见和改进措施。

　　附件1是供应链企业清单，需要填写企业名称、所属省市、具体地址、联系人、联系电话、服务内容和备注。

　　附件2是供应链产品清单，需要填写产品名称、生产厂商、版本号和涉及的操作系统，以及是否有信息传回厂商和传回的主要内容等备注。

　　附件3是供应链安全例行检查，需要填写检查项和检查结果，并在备注中注明责任部门和填报人。检查项目包括采购的软件产品是否通过了国家网络安全审查、是否通过第三方测评机构的审查、软件设计缺陷与开发中产生的漏洞、开源软件在开发过程中可能存在缺陷和漏洞、供应商建设是否符合国家标准的信息安全体系、系统重要数据存取的合规、是否有非法人员进入了系统，以及系统的数据存取记录。

　　1.检查系统运行情况

　　在检查生产系统的运行情况时，需要关注以下几个方面：是否存在非法作业或程序曾在系统中运行；系统是否正常运行，是否遗漏或重复执行了当天应该执行的作业；是否执行了特殊作业或临时作业。同时，需要检查生产系统的联机和批处理作业的运行日志，以发现潜在的问题。

　　2.检查系统参数和数据变更记录

　　为确保系统的稳定性和安全性，需要检查是否曾修改过系统重要参数，并对重要数据的变更记录进行审查。这样可以及时发现数据异常或恶意修改的情况，保障系统的正常运行。

　　3.检查数据备份及存储情况

　　数据备份是保障系统数据安全的重要手段，因此需要检查数据备份的执行情况和存储情况。检查备份数据是否完整，存储是否安全可靠，以确保在系统出现故障或数据丢失时能够及时恢复数据。

【供应链安全管理办法】相关文章：

安全管理办法12-06