供應鏈安全管理辦法

　　供應鏈風險管理：預防與應對，保障企業穩健發展。供應鏈風險管理對于企業的穩健發展至關重要，它涉及預防與應對各種可能影響供應鏈運轉和業務運作的不確定因素。以下供應鏈管理咨詢將從幾個關鍵方面來詳細闡述供應鏈風險管理的預防與應對策略，企業在制定供應鏈風險管理方案時可以參考下。

　　供應鏈安全管理辦法 1

　　第一章總則

　　按照“源頭管控、安全可靠、持續監管、風險可控”原則，選擇符合安全要求的合規合格供應商，保障其為中心提供的產品和服務符合安全要求，加強風險控制，消除供應鏈不安全隱患。

　　本辦法適用于所有向中心提供產品和服務的供應商，包括但不限于規劃設計、開發建設、網絡安全產品、IT產品、網絡運維、技術檢測、等級檢測、風險評估、安全整改、安全測評等單位。

　　第二章職責劃分

　　網絡安全領導小組辦公室的職責包括：

　　1.負責組織供應鏈安全的日常管理工作。

　　2.根據供應鏈安全工作的要求和規范，制定內部的安全檢查計劃及方案，并上報中心網絡安全領導小組。

　　3.定期組織對項目開展安全技術檢測及整改工作，檢測整改情況并上報中心網絡安全領導小組。

　　4.制定完善供應鏈安全事件的應急響應預案，及時處置并上報重大安全隱患。

　　各網絡責任部門的職責包括：

　　1.負責本部門項目的建設、開發、運維過程中的供應鏈安全管理。

　　2.調研項目相關供應商符合信息安全要求的相關資質，確認供應商已建設符合國家標準的信息安全體系。

　　3.與供應商簽訂安全協議。

　　4.對第三方人員進行安全教育，對重要崗位人員進行背景調查并簽訂保密協議。

　　5.定期對項目進行漏洞修復。

　　第三章安全建設管理規定

　　各網絡責任部門應檢查項目中使用的軟件、中間件及網絡設備、安全設備、服務器、手持設備等硬件，查清重要供應鏈產品的版本、型號、生產廠商、開發類型、涉及操作系統、是否有信息回傳廠商及回傳信息的主要內容等基本要素，形成供應鏈產品清單并上報網絡安全領導小組辦公室備案。

　　各網絡責任部門應對關鍵基礎設施、重要網絡和大數據提供服務和產品的供應鏈企業進行梳理排查，主要包括設計方、開發方、承建方、網絡安全產品提供方、信息化產品提供方、運維方、安全服務提供方、信息安全測評方及其他參與方等企業，形成供應鏈企業清單。

　　各網絡責任部門應根據供應鏈產品清單，檢查各供應商銷售許可證并采用源代碼安全審計、開源組件安全檢查、軟件安全性深度測試等技術檢測手段對產品開展安全自查和技術檢測，最終形成供應鏈產品安全隱患清單并上報網絡安全領導小組辦公室備案。

　　第八條要求各網絡責任部門檢查供應商的銷售許可證，并采用源代碼安全審計、開源組件安全檢查、軟件安全性深度測試等技術檢測手段對產品進行安全自查和技術檢測。檢查結果應形成供應鏈產品安全隱患清單，并上報網絡安全領導小組辦公室備案。

　　第九條要求各網絡責任部門對供應鏈企業進行調研，梳理供應商的組織架構、軟件類別、軟件來源、軟件功能、軟件源代碼量、軟件開發語言及供應商自身企業網絡整體安全建設內容。調研結果應形成供應鏈企業安全隱患清單，并上報網絡安全領導小組辦公室備案。

　　第十條要求各網絡責任部門根據供應鏈產品安全隱患清單和供應鏈企業安全隱患清單，開展供應鏈產品和企業的安全隱患整改。整改結果應形成供應鏈安全隱患整改清單，并上報網絡安全領導小組辦公室備案。

　　第十一條規定項目涉及的市場采購軟件產品必須滿足信息安全規范要求，定制開發軟件必須通過第三方評測機構的審查。

　　第十二條要求各網絡責任部門將供應鏈安全例行檢查納入日常運維工作中，并將相關檢查結果記錄留檔備查。

　　第十三條要求各網絡責任部門根據項目變更情況及時更新供應鏈產品安全清單和供應鏈企業安全清單，并組織自查并更新供應鏈產品安全隱患清單和供應鏈企業安全隱患清單。整改結果應及時形成供應鏈安全隱患整改清單，并更新間隔時間不宜超過一年。

　　第十四條要求各網絡責任部門重視供應鏈安全管理。應選擇具有相關專業資質的單位提供外包服務，并嚴格界定外包服務業務范圍和工作內容。簽訂保密協議，并對外包服務單位工作人員進行必要的背景審查和保密審查。關鍵崗位嚴禁由外包人員擔任。

　　第十五條要求對接觸核心系統、數據或擁有管理權限的外部人員進行背景審查和保密審查，并經網絡責任部門同意批準后上報網絡安全領導小組辦公室備案。

　　第十六條要求各網絡責任部門對外部人員進場開展運維和技術服務應建立登記備案制度，并通過專人全程陪同或堡壘機等技術手段監測操作行為。規范外包服務人員的終端接入，嚴禁非授權接入和操作，并嚴禁復制和泄露任何敏感信息。

　　第十七條要求外包服務人員因履行服務內容需要帶出的設備、資料和介質均需事先審核批準，并記錄帶出人、帶出時間、歸還時間和用途等。

　　第十八條要求外包服務人員對開展工作所需的各類賬戶，須向被服務部門提前申請并獲得批準。各部門應遵循“最小權限原則”合理分配外包服務人員操作權限，減小外包服務人員誤操作或濫用權限導致發生各種意外事件帶來的影響。

　　第十九條規定各部門應該加強對外包服務人員變更管理，并建立完善的變更流程。如果外包服務團隊中的人員需要變更，就必須向被服務部門申請并獲得批準及備案。

　　根據第二十條，當外包服務項目結束時，所有屬于中心或責任部門的設施設備必須歸還，該服務項目所需的全部賬號必須視具體情況凍結或刪除，所有本地或遠程訪問通道必須關閉。

　　第六章涉及風險管控和預警應急。根據第二十一條規定，應該每年對供應商開展一次信息安全評估工作，并保留評估記錄。

　　根據第二十二條，各網絡責任部門應該對有關部門通報的.安全風險隱患和預警及時組織處置。他們應該準確研判受漏洞等威脅元素影響的供應鏈產品并整改修復，無法修復的應采取必要補救措施控制風險。他們還應該主動及時掌握供應鏈產品和服務相關的安全信息，并在廠商和安全機構修復方案公開發布后立即核查整改。如果由于技術條件限制，不能按期整改但需繼續運行，他們應該采取必要措施，避免發生安全事件，并報告網絡安全領導小組辦公室。

　　第二十三條規定各網絡責任部門應該加強供應鏈安全事件應急管理，按照中心安全事件應急預案，強化一分鐘處置措施，定期開展應急演練。如果有條件的話，他們應該積極開展實戰攻防演練，并根據演練結果完善應急預案。相關演練計劃、腳本、記錄、總結等資料應該留檔提交網絡安全領導小組備查。

　　根據第二十四條，安全事件發生后，各網絡責任部門應該根據事件類型和級別，立即啟動應急預案，做好事件處置，最大程度減少損失和危害，并及時開展信息通報。

　　第二十五條規定安全事件處置完成后，網絡責任部門應該及時完成事件調查和評估工作，對事件的起因、性質、影響、責任等進行分析評估，并提出處理意見和改進措施。

　　附件1是供應鏈企業清單，需要填寫企業名稱、所屬省市、具體地址、聯系人、聯系電話、服務內容和備注。

　　附件2是供應鏈產品清單，需要填寫產品名稱、生產廠商、版本號和涉及的操作系統，以及是否有信息傳回廠商和傳回的主要內容等備注。

　　附件3是供應鏈安全例行檢查，需要填寫檢查項和檢查結果，并在備注中注明責任部門和填報人。檢查項目包括采購的軟件產品是否通過了國家網絡安全審查、是否通過第三方測評機構的審查、軟件設計缺陷與開發中產生的漏洞、開源軟件在開發過程中可能存在缺陷和漏洞、供應商建設是否符合國家標準的信息安全體系、系統重要數據存取的合規、是否有非法人員進入了系統，以及系統的數據存取記錄。

　　1.檢查系統運行情況

　　在檢查生產系統的運行情況時，需要關注以下幾個方面：是否存在非法作業或程序曾在系統中運行；系統是否正常運行，是否遺漏或重復執行了當天應該執行的作業；是否執行了特殊作業或臨時作業。同時，需要檢查生產系統的聯機和批處理作業的運行日志，以發現潛在的問題。

　　2.檢查系統參數和數據變更記錄

　　為確保系統的穩定性和安全性，需要檢查是否曾修改過系統重要參數，并對重要數據的變更記錄進行審查。這樣可以及時發現數據異常或惡意修改的情況，保障系統的正常運行。

　　3.檢查數據備份及存儲情況

　　數據備份是保障系統數據安全的重要手段，因此需要檢查數據備份的執行情況和存儲情況。檢查備份數據是否完整，存儲是否安全可靠，以確保在系統出現故障或數據丟失時能夠及時恢復數據。

　　供應鏈安全管理辦法 2

　　第一章 總則

　　第一條 為了打造以供應鏈為核心的營銷交付一體化管理體系，實現采購行為的規范、高效、透明、可控，保障項目收益最大化，特制訂本辦法。

　　第二條 本辦法適用于公司及控股子公司。

　　第三條 組織機構

　　1、 經營管理委員會是公司供應鏈管理工作的決策機構，負責供應鏈管理制度的批準、談判人任職資格條件的設定、《合格供應商名錄》的審批。

　　2、 營銷管理委員會是公司供應鏈管理工作的審核機構，負責談判人任職資格的審批、《合格供應商名錄》的審核，對于供應鏈管理中出現的問題出具處理意見。

　　3、 產品負責人負責產品線技術方案的確定、外購產品的選型、技術驗證，負責供應商開發、準入評價及日常管理，負責組織外購產品的商務談判，負責推薦談判人；負責《投標設備成本》的核算、批準，負責《采購預算變更》（金額增加）的批準。

　　4、 銷售負責項目土建成本的核算，《投標報價成本》的批準，推薦供應商；負責項目交付過程中的采購執行，包括采購下單、組織設備進場、采購付款申請、到貨驗證及質量跟蹤。

　　5、 資本經營中心負責采購資金計劃的制定、發布及執行，負責項目資金收支計劃的制定、發布及執行。

　　6、 風險控制中心負責相關制度的擬定，負責《合格供應商名錄》的更新及發布，負責對制度執行情況進行監督、檢查，對執行結果進行匯總分析及定期發布。

　　第四條 崗位職責

　　1、 談判人

　　1） 負責供應商準入談判；

　　2） 按照采購成本下浮的目標，完成年度、季度、月度談判工作；

　　3） 在項目交付階段，按照單項合同價格下浮目標，完成談判工作。

　　2、 主設計師

　　1） 項目投標階段，負責《投標設備成本》核算；

　　2） 項目深化設計完成后，按照工程實施方案調整《投標設備成本》；

　　3） 完成《項目采購預算》的導入。

　　3、 大項目經理

　　1） 負責項目土建成本的核算；

　　2） 負責審核《投標設備成本》。

　　4、 工程項目經理

　　1） 負責擬定《項目設備進場計劃》；

　　2） 負責項目交付過程中的采購執行，包括采購下單、組織設備進場、采購付款申請、到貨驗證及質量跟蹤。

　　第五條 供應鏈管理原則

　　1、 能夠與廠家直接簽署的杜絕從分銷商采購。

　　2、 設備采購不得超出《合格供應商名錄》范圍，如有特殊情況需要超范圍采購的，必須在投標前由大項目經理向產品負責人提出申請，由談判人組織完成供應商準入談判。

　　3、 土建施工類的`采購不得超出公司定額標準，如有特殊情況超出的，原則上采用招標方式確定供應商。土建及安裝調試必須進行決算后方可支付剩余款項。

　　4、 戰略合作類項目、子系統分包按照“背對背”原則付款。

　　5、 設備采購與其他業務不得合并采購。

　　第二章 工作流程

　　第六條 供應商開發

　　1、 產品部門根據產品線技術需求及設備選型的結果提出候選供應商名單，經產品部門負責人批準后，談判人組織供應商準入談判；

　　2、 銷售根據項目需求提出候選供應商名單，經產品部門負責人批準后，產品部門組織產品驗證，驗證通過后，談判人組織供應商準入談判；

　　3、 鼓勵公司員工推薦優秀供應商，經產品部門負責人批準后，產品部門組織產品驗證，驗證通過后，談判人組織供應商準入談判。

　　第七條 談判小組的組成

　　談判小組按產品類型進行分組，由主談判人作為組長，產品部門負責人及相關人員作為小組成員。談判小組成員不能少于三人，且人數為單數。

　　第八條 談判方式

　　談判一般采取邀標、招標或競爭性談判的方式，特殊情況可以采用單一來源采購。

　　采用單一來源采購方式的，必須經產品部門負責人批準后，報營銷委員會審批。

　　第九條 邀標方式

　　此方式主要用于合格供應商價格下浮及商務條款優化的談判。

　　1、 向合格供應商發出邀請函，供應商應在5個工作日內應標并填報《供應商信息表》；

　　2、 成立談判小組；

　　3、 談判小組成員填寫《供應商考核表》，根據考核綜合評分，確定供應商的屬性，報產品部門負責人審批；

　　4、 談判小組將審批結果及相關資料提交風險控制管理中心。

　　第十條 招標方式

　　1、 產品部門負責編寫招標文件技術部分，談判人負責擬定商務條款。

　　2、 成立評標小組，評標小組的組成與談判小組要求一致。

　　3、 在公司招標平臺上發出招標公告及招標文件。

　　4、 供應商在十個工作日內，提交投標文件。

　　5、 投標供應商不得少于三家，不足三家的，經產品部門負責人批準后轉入競爭性談判方式。

　　6、 評標工作要求在一個工作日內完成，采購金額較大或技術情況復雜的，可適當延長。

　　7、 評標小組成員填寫《供應商考核表》，根據考核綜合評分，確定供應商的屬性，報產品部門負責人審批。

　　8、 評標小組將審批結果及相關資料提交風險控制管理中心。

　　第十一條 單一來源采購方式

　　1、 產品部門填寫《單一來源采購申請表》，制定單一來源采購談判計劃。

　　2、 經產品部門負責人批準后，報營銷委員會審批。

　　3、 產品部門向供應商發出《單一來源采購邀請函》，供應商應在3個工作日內應標并填報《供應商信息表》。

　　4、 成立談判小組；

　　5、 談判小組成員填寫《供應商考核表》，根據考核綜合評分，確定供應商的屬性，報產品部門負責人審批；

　　6、 談判小組將審批結果及相關資料提交風險控制管理中心。

　　第十二條 供應商的屬性劃分

　　A類：首選供應商，建立公司層面長期合作的產品供應商；

　　B類：備選供應商，一定范圍內存在合作關系的產品供應商；

　　C類：合作供應商，個別項目存在合作關系的產品供應商。

　　第十三條 采購分配原則

　　1、 A類供應商為公司首選合作供應商，年度采購量約占公司同類產品采購總量的70%：

　　2、 B類供應商為公司備選合作供應商，年度采購量約占公司同類產品采購總量的30%。

　　第十四條 供應商資質要求

　　1、 具有獨立法人資格，提供營業執照、稅務登記證、組織機構代碼證等相關證件；

　　2、 具有與供貨規模相一致的經營規模及資金實力；

　　3、 了解我公司的生產經營情況和采購需求；

　　4、 供應商必須服從公司的管理，嚴格遵守公司各項規章制度；

　　5、 供應商應具有熟悉供貨物資的業務人員，確保供應物資符合采購要求；

　　6、 供應商必須嚴格遵守商業操守。

　　第十五條 供應商考核

　　考核原則：量化考評，公平競爭，優勝劣汰

　　1、 由相關產品部門負責組織，銷售、風險控制管理中心等組成供應商考核評價小組；

　　2、 考核評價小組對供應商產品的質量、價格、供貨時間、服務等做出綜合評價，原則上每年不得少于一次；

　　3、 考核得分90分及以上的為A類，考核得分在70分-89分之間的為B類，考核得分在60分-69分之間的為C類，考核得分在60分以下的，不得列入《合格供應商名錄》。

　　4、 風險控制管理中心負責匯總考核評價結果，報營銷委員會審核，提交經營委員會批準。

　　第三章 發布機制

　　第十六條 供應商名錄更新

　　1、 談判人將談判結果提交產品部門負責人批準后，產品部門相關人員匯總后提交風險控制管理中心；

　　2、 風險控制管理中心負責更新《合格供應商名錄》，提交營銷委員會審核，通過后上報經營委員會批準。

　　3、 風險控制管理中心負責發布《合格供應商名錄》。

　　第十七條 銷售指導價發布

　　1、 產品部門負責擬定自有產品的銷售指導價，經產品部門負責人批準后，發布至經本產品部門認證的主設計師；

　　2、 談判人負責擬定外購產品的銷售指導價，經產品部門負責人批準后，發布至經本產品部門認證的主設計師；

　　3、 主設計師跟據以上銷售指導價核算項目《投標設備成本》；

　　4、 大項目經理按照《投標設備成本》測算的項目利潤低于公司要求的，可以提出申請，由銷售負責人與產品部門負責人協商確定投標報價。

　　第四章 獎懲措施

　　第十八條 對于談判人及談判小組成員，按照采購成本節約額的一定比例發放采購節約獎金。采購成本節約額以當期執行的《供應商名錄》中的采購價格與實際采購價格的差額乘以當月采購下單量綜合計算。獎金發放的比例暫定為10%。

　　第十九條 產品部門以外的人員向公司推薦供應商的，經準入評審確定為合格供應商的，自納入《合格供應商名錄》之日起一年內，有權參加采購節約獎金的分配。

　　第二十條 采購節約獎金按月發放，由談判人負責計算、分配，金額由風險控制管理中心負責審核，分配方案報營銷委員會備案。

　　第二十一條 對于相關人員未能履行職責，影響項目按期交付的，將按照六時點工作法的規定進行處罰。風險控制管理中心負責擬定處罰意見，報營銷委員會批準后執行。

　　第五章 其他

　　第二十二條 風險控制管理中心負責組織相關部門完成月度采購情況分析報告，經營銷委員會審核后，向經營委員會報告。

　　第二十三條 本辦法由經營管理委員會批準后實施，由營銷管理委員會負責解釋。

【供應鏈安全管理辦法】相關文章：

供應鏈管理辦法01-13

安全管理辦法12-06

班組安全管理辦法03-22

安全工作的管理辦法06-09

電梯安全管理辦法06-09

鍋爐安全管理辦法07-11

安全檢查管理辦法06-09

安全風險管理辦法06-09

安全投入保障管理辦法03-28