供应链安全管理办法.pdfVIP

供应链安全管理办法

第一章总则

第一条按照“源头管控、安全可靠、持续监管、风险可

控”原则，选择合规合格的供应商，保障其为中心提供符合

安全要求的产品与服务，加强风险控制，消除供应链不安全

隐患。

第二条本办法适用于向中心提供产品和服务的所有供

应商，包括但不限于规划设计、开发建设、网络安全产品、

IT产品、网络运维、技术检测、等级检测、风险评估、安全

整改，安全测评等单位。

第二章职责划分

第三条网络安全领导小组办公室职责包括：

1.负责组织供应链安全日常管理工作。

2.负责根据供应链安全工作的要求和规范，制定内部

的安全检查计划及方案，上报中心网络安全领导小组。

3.负责定期组织对项目开展安全技术检测及整改工作，

检测整改情况上报中心网络安全领导小组。

4.制定完善供应链安全事件的应急响应预案，及时处

置上报重大安全隐患。

5.

第四条各网络责任部门职责包括：

1.负责本部门项目的建设、开发、运维过程中供应链

安全管理。

2.负责调研项目相关供应商符合信息安全要求的相关

资质，确认供应商已建设符合国家标准的信息安全体系。

3.负责与供应商签订安全协议。

4.负责对第三方人员的安全教育，重要岗位人员进行

背景调查并签订必威体育官网网址协议。

5.负责定期对项目进行漏洞修复

第三章安全建设管理规定

第五条各网络责任部门应检查项目中使用的包括电子

邮件系统、网络监控软件、文件共享平台、源代码仓库、VPN

产品、云桌面系统、虚拟化软件、视频会议软件、财务软件、

行业专用、数据库等软件、中间件及网络设备、安全设备、

服务器、手持设备等硬件，查清重要供应链产品的版本、型

号、生产厂商、开发类型、涉及操作系统、是否有信息回传

厂商及回传信息的主要内容等基本要素，形成供应链产品清

单并上报网络安全领导小组办公室备案。

第六条各网络责任部门应对关键基础设施、重要网络和

大数据提供服务和产品的供应链企业进行梳理排查，主要包

括设计方、开发方、承建方、网络安全产品提供方、信息化

产品提供方、运维方、安全服务提供方、信息安全测评方及

其他参与方等企业，形成供应链企业清单。

第七条各网络责任部门应根据供应链产品清单，检查各

供应商销售许可证并采用源代码安全审计、开源组件安全检

查、软件安全性深度测试等技术检测手段对产品开展安全自

查和技术检测，最终形成供应链产品安全隐患清单并上报网

络安全领导小组办公室备案。

第八条各网络责任部门应检查各供应商销售许可证并

采用源代码安全审计、开源组件安全检查、软件安全性深度

测试等技术检测手段对产品开展安全自查和技术检测，形成

供应链产品安全隐患清单并上报网络安全领导小组办公室备

案。

第九条各网络责任部门应对供应链企业进行调研，梳理

供应商组织架构、软件类别、软件来源、软件功能、软件源

代码量、软件开发语言及供应商自身企业网络整体安全建设

内容，形成供应链企业安全隐患清单并上报网络安全领导小

组办公室备案。

第十条各网络责任部门应根据供应链产品安全隐患清

单、供应链企业安全隐患清单开展供应链产品、企业安全隐

患整改，形成供应链安全隐患整改清单并上报网络安全领导

小组办公室备案。

第十一条项目涉及的市场采购软件产品需满足信息安

全规范要求，定制开发软件必须通过第三方评测机构的审查。

第四章安全运维管理规定

第十二条各网络责任部门应将供应链安全例行检查纳

入日常运维工作中，相关检查结果记录留档备查。

第十三条各网络责任部门应根据项目变更情况及时更

新供应链产品安全清单及供应链企业安全清单，组织自查并

更新供应链产品安全隐患清单及供应链企业安全隐患清单，

及时整改并形成供应链安全隐患整改清单，更新间隔时间不

宜超过一年。

第五章外包及第三方管理

第十四条各网络责任部门应重视供应链安全管理。应

选择具有相关专业资质的单位提供外包服务，严格界定外包

服务业务范围和工作