供应链安全管理办法 第一章 总则 第一条 按照“源头管控、安全可靠、持续监管、风险可控”原则,选择合规合格的供应商,保障其为中心提供符合安全要求的产品与服务,加强风险控制,消除供应链不安全隐患。 第二条 本办法适用于向中心提供产品和服务的所有供应商,包括但不限于规划设计、开发建设、网络安全产品、IT 产品、网络运维、技术检测、等级检测、风险评估、安全整改,安全测评等单位。 第二章 职责划分 第三条 网络安全领导小组办公室职责包括: 1. 负责组织供应链安全日常管理工作。 2. 负责根据供应链安全工作的要求和规范,制定内部的安全检查计划及方案,上报中心网络安全领导小组。 3. 负责定期组织对项目开展安全技术检测及整改工作,检测整改情况上报中心网络安全领导小组。 4. 制定完善供应链安全事件的应急响应预案,及时处置上报重大安全隐患。 5. 第四条 各网络责任部门职责包括: 1. 负责本部门项目的建设、开发、运维过程中供应链安全管理。 2. 负责调研项目相关供应商符合信息安全要求的相关资质,确认供应商已建设符合国家标准的信息安全体系。 3. 负责与供应商签订安全协议。 4. 负责对第三方人员的安全教育,重要岗位人员进行背景调查并签订保密协议。 5. 负责定期对项目进行漏洞修复 第三章 安全建设管理规定 第五条 各网络责任部门应检查项目中使用的包括电子邮件系统、网络监控软件、文件共享平台、源代码仓库、VPN产品、云桌面系统、虚拟化软件、视频会议软件、财务软件、行业专用、数据库等软件、中间件及网络设备、安全设备、服务器、手持设备等硬件,查清重要供应链产品的版本、型号、生产厂商、开发类型、涉及操作系统、是否有信息回传厂商及回传信息的主要内容等基本要素,形成供应链产品清单并上报网络安全领导 小 组 办 公 室 备案 。 第六条 各网络责任部门应对关键 基础 设施 、重要网络和大 数据提 供服务和 产品的供应链企 业进行梳 理排 查,主要包括设计方、开发方、承建方、网络安全产品提供方、信息化产品提供方、运维方、安全服务提供方、信息安全测评方及其他参与方等企业,形成供应链企业清单。 第七条 各网络责任部门应根据供应链产品清单,检查各供应商销售许可证并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品开展安全自查和技术检测,最终形成供应链产品安全隐患清单并上报网络安全领导小组办公室...
