供应链安全管理办法

供应链安全管理办法

　　供应链风险管理：预防与应对，保障企业稳健发展。供应链风险管理对于企业的稳健发展至关重要，它涉及预防与应对各种可能影响供应链运转和业务运作的不确定因素。以下供应链管理咨询将从几个关键方面来详细阐述供应链风险管理的预防与应对策略，企业在制定供应链风险管理方案时可以参考下。

　　供应链安全管理办法 1

　　第一章总则

　　按照“源头管控、安全可靠、持续监管、风险可控”原则，选择符合安全要求的合规合格供应商，保障其为中心提供的产品和服务符合安全要求，加强风险控制，消除供应链不安全隐患。

　　本办法适用于所有向中心提供产品和服务的供应商，包括但不限于规划设计、开发建设、网络安全产品、IT产品、网络运维、技术检测、等级检测、风险评估、安全整改、安全测评等单位。

　　第二章职责划分

　　网络安全领导小组办公室的职责包括：

　　1.负责组织供应链安全的日常管理工作。

　　2.根据供应链安全工作的要求和规范，制定内部的安全检查计划及方案，并上报中心网络安全领导小组。

　　3.定期组织对项目开展安全技术检测及整改工作，检测整改情况并上报中心网络安全领导小组。

　　4.制定完善供应链安全事件的应急响应预案，及时处置并上报重大安全隐患。

　　各网络责任部门的职责包括：

　　1.负责本部门项目的建设、开发、运维过程中的供应链安全管理。

　　2.调研项目相关供应商符合信息安全要求的相关资质，确认供应商已建设符合国家标准的信息安全体系。

　　3.与供应商签订安全协议。

　　4.对第三方人员进行安全教育，对重要岗位人员进行背景调查并签订保密协议。

　　5.定期对项目进行漏洞修复。

　　第三章安全建设管理规定

　　各网络责任部门应检查项目中使用的软件、中间件及网络设备、安全设备、服务器、手持设备等硬件，查清重要供应链产品的版本、型号、生产厂商、开发类型、涉及操作系统、是否有信息回传厂商及回传信息的主要内容等基本要素，形成供应链产品清单并上报网络安全领导小组办公室备案。

　　各网络责任部门应对关键基础设施、重要网络和大数据提供服务和产品的供应链企业进行梳理排查，主要包括设计方、开发方、承建方、网络安全产品提供方、信息化产品提供方、运维方、安全服务提供方、信息安全测评方及其他参与方等企业，形成供应链企业清单。

　　各网络责任部门应根据供应链产品清单，检查各供应商销售许可证并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品开展安全自查和技术检测，最终形成供应链产品安全隐患清单并上报网络安全领导小组办公室备案。

　　第八条要求各网络责任部门检查供应商的销售许可证，并采用源代码安全审计、开源组件安全检查、软件安全性深度测试等技术检测手段对产品进行安全自查和技术检测。检查结果应形成供应链产品安全隐患清单，并上报网络安全领导小组办公室备案。

　　第九条要求各网络责任部门对供应链企业进行调研，梳理供应商的组织架构、软件类别、软件来源、软件功能、软件源代码量、软件开发语言及供应商自身企业网络整体安全建设内容。调研结果应形成供应链企业安全隐患清单，并上报网络安全领导小组办公室备案。

　　第十条要求各网络责任部门根据供应链产品安全隐患清单和供应链企业安全隐患清单，开展供应链产品和企业的安全隐患整改。整改结果应形成供应链安全隐患整改清单，并上报网络安全领导小组办公室备案。

　　第十一条规定项目涉及的市场采购软件产品必须满足信息安全规范要求，定制开发软件必须通过第三方评测机构的审查。

　　第十二条要求各网络责任部门将供应链安全例行检查纳入日常运维工作中，并将相关检查结果记录留档备查。

　　第十三条要求各网络责任部门根据项目变更情况及时更新供应链产品安全清单和供应链企业安全清单，并组织自查并更新供应链产品安全隐患清单和供应链企业安全隐患清单。整改结果应及时形成供应链安全隐患整改清单，并更新间隔时间不宜超过一年。

　　第十四条要求各网络责任部门重视供应链安全管理。应选择具有相关专业资质的单位提供外包服务，并严格界定外包服务业务范围和工作内容。签订保密协议，并对外包服务单位工作人员进行必要的背景审查和保密审查。关键岗位严禁由外包人员担任。

　　第十五条要求对接触核心系统、数据或拥有管理权限的外部人员进行背景审查和保密审查，并经网络责任部门同意批准后上报网络安全领导小组办公室备案。

　　第十六条要求各网络责任部门对外部人员进场开展运维和技术服务应建立登记备案制度，并通过专人全程陪同或堡垒机等技术手段监测操作行为。规范外包服务人员的终端接入，严禁非授权接入和操作，并严禁复制和泄露任何敏感信息。

　　第十七条要求外包服务人员因履行服务内容需要带出的设备、资料和介质均需事先审核批准，并记录带出人、带出时间、归还时间和用途等。

　　第十八条要求外包服务人员对开展工作所需的各类账户，须向被服务部门提前申请并获得批准。各部门应遵循“最小权限原则”合理分配外包服务人员操作权限，减小外包服务人员误操作或滥用权限导致发生各种意外事件带来的影响。

　　第十九条规定各部门应该加强对外包服务人员变更管理，并建立完善的变更流程。如果外包服务团队中的人员需要变更，就必须向被服务部门申请并获得批准及备案。

　　根据第二十条，当外包服务项目结束时，所有属于中心或责任部门的设施设备必须归还，该服务项目所需的全部账号必须视具体情况冻结或删除，所有本地或远程访问通道必须关闭。

　　第六章涉及风险管控和预警应急。根据第二十一条规定，应该每年对供应商开展一次信息安全评估工作，并保留评估记录。

　　根据第二十二条，各网络责任部门应该对有关部门通报的.安全风险隐患和预警及时组织处置。他们应该准确研判受漏洞等威胁元素影响的供应链产品并整改修复，无法修复的应采取必要补救措施控制风险。他们还应该主动及时掌握供应链产品和服务相关的安全信息，并在厂商和安全机构修复方案公开发布后立即核查整改。如果由于技术条件限制，不能按期整改但需继续运行，他们应该采取必要措施，避免发生安全事件，并报告网络安全领导小组办公室。

　　第二十三条规定各网络责任部门应该加强供应链安全事件应急管理，按照中心安全事件应急预案，强化一分钟处置措施，定期开展应急演练。如果有条件的话，他们应该积极开展实战攻防演练，并根据演练结果完善应急预案。相关演练计划、脚本、记录、总结等资料应该留档提交网络安全领导小组备查。

　　根据第二十四条，安全事件发生后，各网络责任部门应该根据事件类型和级别，立即启动应急预案，做好事件处置，最大程度减少损失和危害，并及时开展信息通报。

　　第二十五条规定安全事件处置完成后，网络责任部门应该及时完成事件调查和评估工作，对事件的起因、性质、影响、责任等进行分析评估，并提出处理意见和改进措施。

　　附件1是供应链企业清单，需要填写企业名称、所属省市、具体地址、联系人、联系电话、服务内容和备注。

　　附件2是供应链产品清单，需要填写产品名称、生产厂商、版本号和涉及的操作系统，以及是否有信息传回厂商和传回的主要内容等备注。

　　附件3是供应链安全例行检查，需要填写检查项和检查结果，并在备注中注明责任部门和填报人。检查项目包括采购的软件产品是否通过了国家网络安全审查、是否通过第三方测评机构的审查、软件设计缺陷与开发中产生的漏洞、开源软件在开发过程中可能存在缺陷和漏洞、供应商建设是否符合国家标准的信息安全体系、系统重要数据存取的合规、是否有非法人员进入了系统，以及系统的数据存取记录。

　　1.检查系统运行情况

　　在检查生产系统的运行情况时，需要关注以下几个方面：是否存在非法作业或程序曾在系统中运行；系统是否正常运行，是否遗漏或重复执行了当天应该执行的作业；是否执行了特殊作业或临时作业。同时，需要检查生产系统的联机和批处理作业的运行日志，以发现潜在的问题。

　　2.检查系统参数和数据变更记录

　　为确保系统的稳定性和安全性，需要检查是否曾修改过系统重要参数，并对重要数据的变更记录进行审查。这样可以及时发现数据异常或恶意修改的情况，保障系统的正常运行。

　　3.检查数据备份及存储情况

　　数据备份是保障系统数据安全的重要手段，因此需要检查数据备份的执行情况和存储情况。检查备份数据是否完整，存储是否安全可靠，以确保在系统出现故障或数据丢失时能够及时恢复数据。

　　供应链安全管理办法 2

　　第一章 总则

　　第一条 为了打造以供应链为核心的营销交付一体化管理体系，实现采购行为的规范、高效、透明、可控，保障项目收益最大化，特制订本办法。

　　第二条 本办法适用于公司及控股子公司。

　　第三条 组织机构

　　1、 经营管理委员会是公司供应链管理工作的决策机构，负责供应链管理制度的批准、谈判人任职资格条件的设定、《合格供应商名录》的审批。

　　2、 营销管理委员会是公司供应链管理工作的审核机构，负责谈判人任职资格的审批、《合格供应商名录》的审核，对于供应链管理中出现的问题出具处理意见。

　　3、 产品负责人负责产品线技术方案的确定、外购产品的选型、技术验证，负责供应商开发、准入评价及日常管理，负责组织外购产品的商务谈判，负责推荐谈判人；负责《投标设备成本》的核算、批准，负责《采购预算变更》（金额增加）的批准。

　　4、 销售负责项目土建成本的核算，《投标报价成本》的批准，推荐供应商；负责项目交付过程中的采购执行，包括采购下单、组织设备进场、采购付款申请、到货验证及质量跟踪。

　　5、 资本经营中心负责采购资金计划的制定、发布及执行，负责项目资金收支计划的制定、发布及执行。

　　6、 风险控制中心负责相关制度的拟定，负责《合格供应商名录》的更新及发布，负责对制度执行情况进行监督、检查，对执行结果进行汇总分析及定期发布。

　　第四条 岗位职责

　　1、 谈判人

　　1） 负责供应商准入谈判；

　　2） 按照采购成本下浮的目标，完成年度、季度、月度谈判工作；

　　3） 在项目交付阶段，按照单项合同价格下浮目标，完成谈判工作。

　　2、 主设计师

　　1） 项目投标阶段，负责《投标设备成本》核算；

　　2） 项目深化设计完成后，按照工程实施方案调整《投标设备成本》；

　　3） 完成《项目采购预算》的导入。

　　3、 大项目经理

　　1） 负责项目土建成本的核算；

　　2） 负责审核《投标设备成本》。

　　4、 工程项目经理

　　1） 负责拟定《项目设备进场计划》；

　　2） 负责项目交付过程中的采购执行，包括采购下单、组织设备进场、采购付款申请、到货验证及质量跟踪。

　　第五条 供应链管理原则

　　1、 能够与厂家直接签署的杜绝从分销商采购。

　　2、 设备采购不得超出《合格供应商名录》范围，如有特殊情况需要超范围采购的，必须在投标前由大项目经理向产品负责人提出申请，由谈判人组织完成供应商准入谈判。

　　3、 土建施工类的`采购不得超出公司定额标准，如有特殊情况超出的，原则上采用招标方式确定供应商。土建及安装调试必须进行决算后方可支付剩余款项。

　　4、 战略合作类项目、子系统分包按照“背对背”原则付款。

　　5、 设备采购与其他业务不得合并采购。

　　第二章 工作流程

　　第六条 供应商开发

　　1、 产品部门根据产品线技术需求及设备选型的结果提出候选供应商名单，经产品部门负责人批准后，谈判人组织供应商准入谈判；

　　2、 销售根据项目需求提出候选供应商名单，经产品部门负责人批准后，产品部门组织产品验证，验证通过后，谈判人组织供应商准入谈判；

　　3、 鼓励公司员工推荐优秀供应商，经产品部门负责人批准后，产品部门组织产品验证，验证通过后，谈判人组织供应商准入谈判。

　　第七条 谈判小组的组成

　　谈判小组按产品类型进行分组，由主谈判人作为组长，产品部门负责人及相关人员作为小组成员。谈判小组成员不能少于三人，且人数为单数。

　　第八条 谈判方式

　　谈判一般采取邀标、招标或竞争性谈判的方式，特殊情况可以采用单一来源采购。

　　采用单一来源采购方式的，必须经产品部门负责人批准后，报营销委员会审批。

　　第九条 邀标方式

　　此方式主要用于合格供应商价格下浮及商务条款优化的谈判。

　　1、 向合格供应商发出邀请函，供应商应在5个工作日内应标并填报《供应商信息表》；

　　2、 成立谈判小组；

　　3、 谈判小组成员填写《供应商考核表》，根据考核综合评分，确定供应商的属性，报产品部门负责人审批；

　　4、 谈判小组将审批结果及相关资料提交风险控制管理中心。

　　第十条 招标方式

　　1、 产品部门负责编写招标文件技术部分，谈判人负责拟定商务条款。

　　2、 成立评标小组，评标小组的组成与谈判小组要求一致。

　　3、 在公司招标平台上发出招标公告及招标文件。

　　4、 供应商在十个工作日内，提交投标文件。

　　5、 投标供应商不得少于三家，不足三家的，经产品部门负责人批准后转入竞争性谈判方式。

　　6、 评标工作要求在一个工作日内完成，采购金额较大或技术情况复杂的，可适当延长。

　　7、 评标小组成员填写《供应商考核表》，根据考核综合评分，确定供应商的属性，报产品部门负责人审批。

　　8、 评标小组将审批结果及相关资料提交风险控制管理中心。

　　第十一条 单一来源采购方式

　　1、 产品部门填写《单一来源采购申请表》，制定单一来源采购谈判计划。

　　2、 经产品部门负责人批准后，报营销委员会审批。

　　3、 产品部门向供应商发出《单一来源采购邀请函》，供应商应在3个工作日内应标并填报《供应商信息表》。

　　4、 成立谈判小组；

　　5、 谈判小组成员填写《供应商考核表》，根据考核综合评分，确定供应商的属性，报产品部门负责人审批；

　　6、 谈判小组将审批结果及相关资料提交风险控制管理中心。

　　第十二条 供应商的属性划分

　　A类：首选供应商，建立公司层面长期合作的产品供应商；

　　B类：备选供应商，一定范围内存在合作关系的产品供应商；

　　C类：合作供应商，个别项目存在合作关系的产品供应商。

　　第十三条 采购分配原则

　　1、 A类供应商为公司首选合作供应商，年度采购量约占公司同类产品采购总量的70%：

　　2、 B类供应商为公司备选合作供应商，年度采购量约占公司同类产品采购总量的30%。

　　第十四条 供应商资质要求

　　1、 具有独立法人资格，提供营业执照、税务登记证、组织机构代码证等相关证件；

　　2、 具有与供货规模相一致的经营规模及资金实力；

　　3、 了解我公司的生产经营情况和采购需求；

　　4、 供应商必须服从公司的管理，严格遵守公司各项规章制度；

　　5、 供应商应具有熟悉供货物资的业务人员，确保供应物资符合采购要求；

　　6、 供应商必须严格遵守商业操守。

　　第十五条 供应商考核

　　考核原则：量化考评，公平竞争，优胜劣汰

　　1、 由相关产品部门负责组织，销售、风险控制管理中心等组成供应商考核评价小组；

　　2、 考核评价小组对供应商产品的质量、价格、供货时间、服务等做出综合评价，原则上每年不得少于一次；

　　3、 考核得分90分及以上的为A类，考核得分在70分-89分之间的为B类，考核得分在60分-69分之间的为C类，考核得分在60分以下的，不得列入《合格供应商名录》。

　　4、 风险控制管理中心负责汇总考核评价结果，报营销委员会审核，提交经营委员会批准。

　　第三章 发布机制

　　第十六条 供应商名录更新

　　1、 谈判人将谈判结果提交产品部门负责人批准后，产品部门相关人员汇总后提交风险控制管理中心；

　　2、 风险控制管理中心负责更新《合格供应商名录》，提交营销委员会审核，通过后上报经营委员会批准。

　　3、 风险控制管理中心负责发布《合格供应商名录》。

　　第十七条 销售指导价发布

　　1、 产品部门负责拟定自有产品的销售指导价，经产品部门负责人批准后，发布至经本产品部门认证的主设计师；

　　2、 谈判人负责拟定外购产品的销售指导价，经产品部门负责人批准后，发布至经本产品部门认证的主设计师；

　　3、 主设计师跟据以上销售指导价核算项目《投标设备成本》；

　　4、 大项目经理按照《投标设备成本》测算的项目利润低于公司要求的，可以提出申请，由销售负责人与产品部门负责人协商确定投标报价。

　　第四章 奖惩措施

　　第十八条 对于谈判人及谈判小组成员，按照采购成本节约额的一定比例发放采购节约奖金。采购成本节约额以当期执行的《供应商名录》中的采购价格与实际采购价格的差额乘以当月采购下单量综合计算。奖金发放的比例暂定为10%。

　　第十九条 产品部门以外的人员向公司推荐供应商的，经准入评审确定为合格供应商的，自纳入《合格供应商名录》之日起一年内，有权参加采购节约奖金的分配。

　　第二十条 采购节约奖金按月发放，由谈判人负责计算、分配，金额由风险控制管理中心负责审核，分配方案报营销委员会备案。

　　第二十一条 对于相关人员未能履行职责，影响项目按期交付的，将按照六时点工作法的规定进行处罚。风险控制管理中心负责拟定处罚意见，报营销委员会批准后执行。

　　第五章 其他

　　第二十二条 风险控制管理中心负责组织相关部门完成月度采购情况分析报告，经营销委员会审核后，向经营委员会报告。

　　第二十三条 本办法由经营管理委员会批准后实施，由营销管理委员会负责解释。

【供应链安全管理办法】相关文章：

供应链管理办法01-13

安全管理办法12-06

班组安全管理办法03-22

安全工作的管理办法06-09

电梯安全管理办法06-09

锅炉安全管理办法07-11

安全检查管理办法06-09

安全风险管理办法06-09

安全投入保障管理办法03-28