本文详细介绍了供应链安全管理的各项规定,包括总则、职责、供应链信息安全管理制度、运行安全管理制度、数据安全管理制度、服务人员安全管理制度、供应链自主知识产权管理和供应链应急安全处置制度。内容涵盖供应链信息的收集、存档、审核、安全预防和应急措施,旨在保障公司与供应链合作过程中的信息安全和合规性。
供应链安全管理规定
第一章 总则
第一条 目的:为了规范供应链在与公司合作过程中的安全管理工作,按照“源头管理、安全可靠、持续监管、风险控制”原则,促进公司充分了解供应链的供应、交期、品管等能力,保障其提供符合安全要求的产品与服务,加强风险控制,消除供应链供应不安全隐患,从而为公司制定采购决策提供依据,特制定本制度。
第二条 对象:本制度的对象主要为公司网络系统供应链及公司采购部和信息技术科相关人员以及网络安全领导小组办公室成员。
第三条 适用范围:
1)本制度适用于采购部人员收集、整理、存档供应链信息等相关工作;
2)适用于信息技术科人员对供应链的安全管理相关工作;
3)适用公司提供产品和服务的所有供应链,包括但不限于规划设计、技术检测、等级检测、风险评估、安全整改,安全测评等相关单位。
第二章 职责
第四条 网络安全领导小组办公室作为供应链信息安全的主管部门,总经理作为管理人员负责参与重要供应链的评估及考核工作。
第五条 网络安全领导小组办公室职责:
1)负责供应链安全的日常管理
2)负责编制、审核和落实供应链信息安全管理制度,监督供应链信息安全管理过程
3)负责定期组织对项目开展安全技术检测以及整改工作,检测整改情况上报公司网络安全领导小组。
4)负责完善供应链信息安全事件响应预案,及时处置上报重大隐患。
第六条 其他各相关业务部职责:
1)财务部门负责核定资金预算、供应链资料的审核备存及应付账款的对账及付款
2)采购专员负责分析和核定供应链信息,评价供应链资信等,采购文员负责收集、整理、存档、保管供应链信息。
3)信息技术科人员负责调研项目相关供应链是否符合信息安全要求的相关资质,确认供应链的建设是否符合国家标准的信息安全体系,并负责对本公司的项目建设、开发、运维过程中的供应链安全管理,以及负责定期对项目漏洞排查。
供应链信息安全管理制度
第一章 总则
第一条 目的:为了完善公司对供应链信息收集、分类、整理等流程的管理,保障公司供应链信息的使用安全,落实供应链信息的保存规范,特制定本制度。
第二条 范围:本制度适用于涉及公司采购部门对供应链信息管理的项目与人员
第二章 供应链信息来源要求
第三条 供应链信息来源:
1)基本情况,包括供应链代码、供应链名称、供应链地址、开户银行、开户账号、税号、联系人、电话、传真等。
2)资料类,主要包括营业执照、执照到期日期、生产许可证、许可证到期日期、质量体系证书、证书到期日期、产品标识、行业检测报告及有效期、企业简介、配套设备情况、供应链基本情况调查表等。
3)合同类,包括供应链质量保证协议、配套产品保修服务协议、合同及合同编号、技术协议。
4)产品类,包括物料编码、产品名称、图号、价格、企业行业标准、产品执行标准等。
5)流程类,包括样品小批鉴定表、供应链评价记录、供应链批准表格等。
第四条 采购专员针对供应链信息的来源(如:供应链数据库、采购平台管理系统、口碑或推荐等)进行记录归档。
第五条 采购人员对信息来源的真实性进行验证,包括电话、邮箱、传真地址等联系信息产生变动时应及时修正信息。
第三章 供应链信息收集
第六条 信息收集流程:
1)在信息收集时采购专员需制订周密、切实可行的信息收集计划,并报采购部经理审批。
2)信息供应链主管将收集计划分解并分配给采购专员。
3)采购文员按照信息收集的目的和要求设计出合理的信息收集提纲与表格。
5)采购文员按照任务的特点,选择合适的收集方式和方法。
第四章 供应链信息留存要求
第七条 供应链信息的内容主要包括以下四个方面:
1)供应链基础资料,公司所掌握的供应链最基本的原始资料,主要包括公司名称、地址、电话、传真、 E-mail 、网址、负责人、联系人,公司概况,设备状况,人力资源状况,主要产品及原材料等。
2)供应链特征信息,包括供应能力、发展潜力、企业规模和知名度等。
3)供应链业务状况,主要包括目前及以往的销售实绩,经营管理者和业务人员的素质,与其他竞争公司的关系,与本公司的业务联系及合作态度等。
4)交易活动状态,主要包括供应链的交货状况、存在的问题、保持的优势、未来的对策、企业信誉与形象、信用状况、财务状况等。
第八条 供应链信息整理
1)采购文员负责收集和审核供应链基础信息的资料,包括营业执照、生产许可证、卫生许可证、印刷许可证和税务登记证等。
2)采购专员对供应链进行分类与编号,分类的方法按公司编码规定。
3)采购文员按照供应链编号,将采购专员核定的供应链信息录入信息管理系统,建立供应链档案卡。
4)采购文员把信息以调查报告、资料摘编、数据图表的形式整理出来。
5)采购专员将这些信息资料与收集计划进行对比分析,如不符合要求,还要进行补充收集。
第九条 供应链信息借阅规定:
1)借阅资料时,必须办理借阅手续。借阅人员需注明借阅资料、期限及用途等,由借阅人员部门领导审批,并由采购部经理审批。
2)采购文员审核“借阅申请单”,并及时登记借阅信息。
3)借阅人员应准时送还资料,采购文员应核对资料,并登记。
4)如出现借阅异常时,采购文员应了解情况,必要时上报部门领导。
第十条 供应链信息管理应保持动态性,需要根据供应链情况的变化,不断地加以调整,清理过旧资料,及时补充新资料,并进行跟踪记录。
第五章 供应链信息存档
第九条 供应链信息存档规定:
1) 按照领导审批和公司规定,采购文员将供应链信息资料注明密级。
2) 将资料按来源、时间、内容等分成若干层次和类别。
3) 归档的资料应齐全完整,按照顺序或编号进行装订。
4) 将装订好的资料,按照公司的编码规则编号、标注标题,并编制卷内目录。
5) 按照分类将案卷整齐放在规定的档案柜或档案架上。
6) 定期对资料进行整理、清理、核对。
运行安全管理制度
第一章 总则
第一条 目的:为了规范在与供应链合作过程中供应链的选择以及相关合同与协议的要求,完善监督与审核要求以保障对供应链的运行安全,特制定本制度
第二条 范围:所有产生与供应链合作的项目以及相关人员。
第二章 供应链的选择
第三条 在对供应链的选择过程中必须严格审查供应链的相关专业资质。
第四条 通过与供应链的相关密切合作过程中对供应链进行评级,在供应链选择过程中优先选择高级别。
第三章 合同与协议
第五条 在与供应链合作时需与供应链签订明确的合同和协议,明确双方的责任和义务,包括对安全管理的要求和标准,确保供应链按照约定的要求履行责任。
第六条 供应链涉及重要系统服务人员应签订相关保密协议。
第四章 供应链监督审核
第七条 在与供应链合作过程中对供应链的运营过程进行定期或不定期的检查和评估,确保其符合安全要求,并及时提出整改要求。
数据安全管理制度
第一章 总则
第一条 目的:为了规范在与供应链合作过程中安全建设的管理,保障公司的数据安全,特制定本制度。
第二条 范围:所有产生与供应链合作的项目以及相关人员。
第二章 安全建设管理
第三条 各网络责任部门应检查项目中使用的包括电子邮件系统、网络监控软件、文件共享平台、源代码仓库、VPN产品、云桌面系统、虚拟化软件、视频会议软件、财务软件、行业专用、数据库等软件、中间件及网络设备、安全设备、服务器、手持设备等硬件,查清重要供应链产品的版本、型号、生产厂商、开发类型、涉及操作系统、是否有信息回传厂商及回传信息的主要内容等基本要素,形成供应链产品清单并上报网络安全领导小组办公室备案。
第四条 各网络责任部门应对关键基础设施,重要网络和大数据提供服务和产品的供应链企业梳理排查,主要包括设计方、开发方、承建方、网络安全产品提供方、信息化产品提供方、运维方、安全服务提供方、信息安全测评方、以及其他参与方企业,形成供应链产业清单。
服务人员安全管理制度
第一章 总则
第一条 目的:为了规范在与供应链合作过程中相关服务人员的管理制度,防止在与合作过程中出现供应链攻击等相关危险行为,特制定本制度。
第二条 范围:所有与供应链合作的项目以及相关人员。
第二章 服务人员管理制度
第三条 各网络责任部门应重视供应链安全管理。应严格界定供应链服务业务范围和工作内容,明确敏感信息访问、处理等所有相关的安全要求,签订保密协议,并对供应链服务单位工作人员进行必要的背景审查和保密审查。
第四条 供应链服务人员网络安全准入机制:对接触核心系统、数据或拥有管理权限的外部人员需要进行背景审查和保密审查,提出书面申请后,经网络责任部门同意批准后上报网络安全领导小组办公室备案。
第五条 供应链服务人员对开展工作所需的各类账户,须向被服务部门提前申请并获得批准。各部门应遵循“最小权限原则”合理分配供应链服务人员操作权限,减小供应链服务人员误操作或滥用权限导致发生各种意外事件带来的影响。
第六条 各部门应加强对供应链服务人员变更管理,建立完善的变更流程。供应链服务团队中人员若需变更,须向被服务部门申请并获得批准及备案。
第七条 供应链服务项目结束时,归还所有属于中心或责任部门的设施设备,视具体情况冻结或删除该服务项目所需的全部账号,关闭所有本地和远程访问通道。
供应链自主知识产权管理
第一章 总则
第一条 目的:为了规范在与供应链合作过程中对供应链自主知识产权的管理,规定相关的审查检测机制,特制定本制度。
第二条 范围:所有产生与供应链合作的项目以及相关人员。
第二章 供应链自主知识产权审计
第三条 各网络责任部门应检查各供应链销售许可证并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品开展安全自查和技术检测,形成供应链产品安全隐患清单并上报网络安全领导小组办公室备案。
第四条 各网络责任部门应根据供应链产品安全隐患清单、供应链企业安全隐患清单开展供应链产品、企业安全隐患整改,形成供应链安全隐患整改清单并上报网络安全领导小组办公室备案。
第五条 项目涉及的市场采购软件产品需满足信息安全规范要求,定制开发软件必须通过第三方检测机构的审查。
第三章 供应链自主知识产权资质审查
第六条 各网络责任部门应对供应链企业进行调研,梳理供应链组织架构、软件类别、软件来源、软件功能、软件源代码、软件开发语言及供应链自身企业网络整体安全建设内容,形成供应链企业安全隐患清单并上报网络安全领导小组办公室备案。
供应链应急安全处置制度
第一章 总则
第一条 目的:为了规范在与供应链合作过程中对供应链自主知识产权的管理,规定相关的审查检测机制,特制定本制度。
第二条 范围:所有产生与供应链合作的项目以及相关人员。
第二章 供应链安全应急预案
第三条 每年针对供应链至少进行一次信息安全评估工作,并保留评估记录。
第四条 每年至少进行一次针对供应链信息安全应急演练,并保留演练记录。
第五条 针对供应链信息安全紧急突发状况应联系网络安全领导小组办公室人员。
第六条 各网络责任部门应对有关部门通报的安全风险隐患和预警及时组织处置,准确研判漏洞等威胁元素影响的供应链产品并整改修复,无法修复的应采取必要补救措施控制风险。主动及时掌握供应链产品和服务相关的安全信息,对通用型产品和服务的风险漏洞,运行单位应在厂商和安全机构修复方案公开发布后立即核查整改。因技术条件限制,不能按期整改但需继续运行的,应采取必要措施,避免发生安全事件,并报告网络安全领导小组办公室。
第七条 各网络责任部门应加强供应链安全事件应急管理,按照中心安全事件应急预案,强化一分钟处置措施,定期开展应急演练,有条件的积极开展实战攻防演练,并根据演练结果完善应急预案,相关演练计划、脚本、记录、总结等资料留档提交网络安全领导小组备查。
第八条 各网络责任部门应加强供应链安全事件应急管理,按照中心安全事件应急预案,强化一分钟处置措施,定期开展应急演练,有条件的积极开展实战攻防演练,并根据演练结果完善应急预案,相关演练计划、脚本、记录、总结等资料留档提交网络安全领导小组备查。
第九条 安全事件处置完成后,网络责任部门应及时完成事件调查和评估工作,对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
第三章 供应链应急安全考核机制
第十条 安全评估:在与供应链合作过程中应对供应链可能存在的网络安全隐患进行评估,主要评估操作规范、作业流程、以及供应链自主知识产权审核等方面,并对评估不合格内容责令并监督整改。
第十一条 能力评估:在与供应链应合作过程中应对供应链面对突发网络安全紧急情况处理能力进行评估,主要评估供应链专业资质、服务经验、以及往期服务效果等方面,并对其不足督促完善。
第十二条 响应考核:在与供应链合作过程中应对供应链面对应急突发网络安全紧急情况响应情况进行考核,主要考核其响应速度、响应结果以及响应流程等相关内容,并对不合格处责令整改。
第十三条 规范考核:在与供应链合作过程中应对供应链面对突发网络安全紧急状况处理规范进行考核,主要考察其在进行网络安全服务过程中的流程、申报、作业等规范,对不规范处责令整改。
第十四条 定期审查:在与供应链合作过程中应对供应链应对网络安全突发状况的能力定期审查,主要审查其处理能力、响应能力、以及响应规范等方面,对不合格处责令整改。
第四章 供应链应急安全处罚措施
第十五条 在与供应链合作过程中因供应链操作失误或其他违规作业导致的网络安全突发紧急事件,造成一般后果的将给予其警告并督促督促整改,整改后申请评估,评估通过后方可继续正常合作。(一般后果指公司不涉密数据或配置等错误能立即回滚恢复等,对业务造成较小影响的安全事件)
第十六条 在与供应链合作过程中因供应链操作失误或其他违规作业导致的网络安全突发紧急事件,造成严重后果的将对其进行合同约束与降低评级,并督促整改,整改后申请评估,评估通过后方可继续合作。(严重后果指公司数据或配置等错误能够在技术手段或相关备份设备帮助下恢复等,对公司业务造成短暂影响的安全事件)
第十七条 在与供应链合作过程中因供应链操作失误或其他违规作业导致的网络安全突发紧急事件,造成重大后果的将与其终止合作并追究其法律责任。(重大后果一般指导致公司数据或配置无法恢复的造成较大影响的,以及公司业务严重受损的相关错误等重大安全事件)
附件一:
借阅清单
| 序号 | 借阅时间 | 借阅人 | 所属部门 | 借阅内容 | 目的 | 归还时间 | 备注 | |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
| |
附件二:
信息借阅申请单
| 借阅人姓名 |
| 所属部门 |
| 借阅时间 |
|
| 信息内容 |
| ||||
| 信息类别 |
| ||||
| 借阅资料 | □原件 □复印件 | ||||
| 借阅份数 |
| 借阅方式 | 查阅 摘抄 复印 | ||
| 事由 |
| ||||
| 归还日期 |
| 归还人 |
| ||
| 管理员审批 |
| 签字 |
| 日期 |
|
| 部门主管审批 |
| 签字 |
| 日期 |
|
经办人: 日期:
附件三:
供应链企业清单
| 项目 |
| 责任部门 |
| 填报人 |
| 填报日期 |
| |||
| 序号 | 类型 | 企业名称 | 所属省市 | 具体地址 | 联系人 | 联系电话 | 服务内容 | 备注 | ||
|
|
|
|
|
|
|
|
|
| ||
|
|
|
|
|
|
|
|
|
| ||
附件四:
供应链产品清单
| 项目 |
| 责任部门 |
| 填报人 |
| 填报日期 |
| ||
| 序号 | 类型 | 产品名称 | 厂商 | 版本号 | 开发类型 | 操作系统 | 回传厂商 | 传回容 | 备注 |
| 1 |
|
|
|
|
|
|
|
|
|
| 2 |
|
|
|
|
|
|
|
|
|
| 3 |
|
|
|
|
|
|
|
|
|
| 4 |
|
|
|
|
|
|
|
|
|
| 5 |
|
|
|
|
|
|
|
|
|
| + |
|
|
|
|
|
|
|
|
|
附件五:
供应链安全审查
| 项目 |
| 责任部门 |
| 填报人 |
| 填报日期 |
| |
| 序号 | 检查项 | 检查结果 | 备注 | |||||
| 1 | 软件是否通过国家网络安全审查 |
|
| |||||
| 2 | 软件是否通过第三方测评机构审查 |
|
| |||||
| 3 | 软件是否存在设计缺陷与开发漏洞 |
|
| |||||
| 4 | 软件在开发过程中是否可能存在缺陷与漏洞 |
|
| |||||
| 5 | 供应链建设是否符合国家标准的信息安全体系 |
|
| |||||
| 6 | 系统重要数据存取合规性 |
|
| |||||
| 7 | 检查系统存取记录 | 是否存在非法人员进入系统 |
|
| ||||
| 是否存在相关人员非法作业或存在非法程序运行 |
|
| ||||||
| 8 | 检查生产系统的联机和批处理的记录 | 是否正常运行 |
|
| ||||
| 是否遗漏或重复作业 |
|
| ||||||
| 是否执行特殊或临时作业 |
|
| ||||||
| 是否修改系统重要参数 |
|
| ||||||
| 是否存在变更记录 |
|
| ||||||
| 9 | 数据备份存放情况 |
|
| |||||
| 10 | 检查日常审计情况,记录系统异常以及其他安全事件 |
|
| |||||
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
