第一章总则按照源头管控、安全可靠、持续监管、风险可控”原则,选择符合安全要求的合规合格供应商,保障其为中心提供的产品和服务符合安全要求,加强风险控制,消除供应链不安全隐患。本办法适用于所有向中心提供产品和服务的供应商,包括但不限于规划设计、开发建设、网络安全产品、IT产品、网络运维、技术检测、等级检测、风险评估、安全整改、安全测评等单位。第二章职责划分网络安全领导小组办公室的职责包括:2.根据供应链安全工作的要求和规范,制定内部的安全检查计划及方案,并上报中心网络安全领导小组。3.定期组织对项目开展安全技术检测及整改工作,检测整改情况并上报中心网络安全领导小组。4.制定完善供应链安全事件的应急响应预案,及时处置并上报重大安全隐患。各网络责任部门的职责包括:1.负责本部门项目的建设、开发、运维过程中的供应链安全管理。2.调研项目相关供应商符合信息安全要求的相关资质,确认供应商已建设符合国家标准的信息安全体系。3.与供应商签订安全协议。4.调查并签订保密协议。5.定期对项目进行漏洞修复。第三章安全建设管理规定各网络责任部门应检查项目中使用的软件、中间件及网络设备、安全设备、服务器、手持设备等硬件,查清重要供应链产品的版本、型号、生产厂商、开发类型、涉及操作系统、是否有信息回传厂商及回传信息的主要内容等基本要素,形成供应链产品清单并上报网络安全领导小组办公室备案。各网络责任部门应对关键基础设施、重要网络和大数据提供服务和产品的供应链企业进行梳理排查,主要包括设计方、开发方、承建方、网络安全产品提供方、信息化产品提供方、运维方、安全服务提供方、信息安全测评方及其他参与方等企业,形成供应链企业清单。售许可证并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品开展安全自查和技术检测,最终形成供应链产品安全隐患清单并上报网络安全领导小组办公室备案。第八条要求各网络责任部门检查供应商的销售许可证,并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品进行安全自查和技术检测。检查结果应形成供应链产品安全隐患清单,并上报网络安全领导小组办公室备案。第九条要求各网络责任部门对供应链企业进行调研,梳理供应商的组织架构、软件类别、软件来源、软件功能、软件源代码量、软件开发语言及供应商自身企业网络整体安全建设内容。调研结果应形成供应链企业安全隐患清单,并上报网络安全领导小组办公室备案。第十条要求各网络责任部门根据供应链产品安全隐患清单和供应链企业安全隐患清单,开展供应链产品和企业的安全隐络安全领导小组办公室备案。第十一条规定项目涉及的市场采购软件产品必须满足信息安全规范要求,定制开发软件必须通过第三方评测机构的审查。第十二条要求各网络责任部门将供应链安全例行检查纳入日常运维工作中,并将相关检查结果记录留档备查。第十三条要求各网络责任部门根据项目变更情况及时更新供应链产品安全清单和供应链企业安全清单,并组织自查并更新供应链产品安全隐患清单和供应链企业安全隐患清单。整改结果应及时形成供应链安全隐患整改清单,并更新间隔时间不宜超过一年。第十四条要求各网络责任部门重视供应链安全管理。应选择具有相关专业资质的单位提供外包服务,并严格界定外包服务业务范围和工作内容。签订保密协议,并对外包服务单位工作人员进行必要的背景审查和保密审查。关键岗位严禁由外包人员担任。部人员进行背景审查和保密审查,并经网络责任部门同意批准后上报网络安全领导小组办公室备案。第十六条要求各网络责任部门对外部人员进场开展运维和技术服务应建立登记备案制度,并通过专人全程陪同或堡垒机等技术手段监测操作行为。规范外包服务人员的终端接入,严禁非授权接入和操作,并严禁复制和泄露任何敏感信息。第十七条要求外包服务人员因履行服务内容需要带出的设备、资料和介质均需事先审核批准,并记录带出人、带出时间、归还时间和用途等。第十八条要求外包服务人员对开展工作所需的各类账户,须向被服务部门提前申请并获得批准。各部门应遵循最小权限原则...
