2023新能源集控中心供應(yīng)鏈管理制度

—PAGE6—PAGE新能源集控中心供應(yīng)鏈管理制度第一章總則第一條為加強(qiáng)XXXX公司（新能源）集控中心（以下簡(jiǎn)稱集控中心）供應(yīng)鏈的管理，確保供應(yīng)鏈安全可靠，提高服務(wù)安全和服務(wù)質(zhì)量，特制定本管理辦法。第二條本管理辦法編制依據(jù)《網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》（GB/T32921—2016）、《XXXX公司供應(yīng)商管理辦法》等法律法規(guī)和標(biāo)準(zhǔn)制度。第三條供應(yīng)鏈指為滿足供應(yīng)關(guān)系通過資源和過程將需求方、供應(yīng)方相互連接的網(wǎng)鏈結(jié)構(gòu)，可用于將信息技術(shù)產(chǎn)品提供給需求方。第四條信息技術(shù)產(chǎn)品指具有采集、存儲(chǔ)、處理、傳輸、控制、交換、顯示數(shù)據(jù)或信息功能的硬件、軟件、系統(tǒng)和服務(wù)等。第五條需求方指獲取信息技術(shù)產(chǎn)品的單位。第六條供應(yīng)方指提供信息技術(shù)產(chǎn)品的單位或組織。第二章管理職責(zé)第七條集控中心供應(yīng)鏈管理部門為信息管理部，負(fù)責(zé)對(duì)集控中心的信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施的信息技術(shù)產(chǎn)品供應(yīng)鏈的安全管理。第八條集控中心各部門負(fù)責(zé)提出需求方信息技術(shù)產(chǎn)品要求，對(duì)供應(yīng)方的服務(wù)質(zhì)量予以監(jiān)督，配合供應(yīng)鏈管理機(jī)構(gòu)（部門）對(duì)供應(yīng)方進(jìn)行評(píng)估工作。第九條管理機(jī)構(gòu)（部門）對(duì)供應(yīng)鏈管理主要職責(zé)：（一）確保通過采購文件、服務(wù)協(xié)議等要求供應(yīng)方符合第三章規(guī)定的要求；（二）建立和維護(hù)合格供應(yīng)方目錄（臺(tái)帳），目錄（臺(tái)帳）中的供應(yīng)方應(yīng)沒有出現(xiàn)因政治、外交、貿(mào)易等因素中斷信息技術(shù)產(chǎn)品、芯片等元器件、材料供應(yīng)，停止軟件授權(quán)、升級(jí)或技術(shù)支持服務(wù)的先例。（三）從多個(gè)國(guó)家或地區(qū)獲得信息技術(shù)產(chǎn)品及其部件，確保來源具有多樣性。（四）定期評(píng)估信息技術(shù)產(chǎn)品供應(yīng)中斷、停止授權(quán)、拒絕提供產(chǎn)品升級(jí)或技術(shù)支持服務(wù)的風(fēng)險(xiǎn)，確保供應(yīng)鏈彈性；在約定的期限內(nèi)，要求供應(yīng)方提供信息技術(shù)產(chǎn)品供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估報(bào)告。（五）定期組織開展供應(yīng)方執(zhí)行能力及安全能力評(píng)估。第三章供應(yīng)方安全要求第十條產(chǎn)品、設(shè)備應(yīng)具有完善的銷售許可證、著作權(quán)證明等符合國(guó)家、行業(yè)標(biāo)準(zhǔn)的證明，安全產(chǎn)品還應(yīng)具備專業(yè)檢測(cè)機(jī)構(gòu)檢測(cè)報(bào)告。第十一條保證發(fā)現(xiàn)信息技術(shù)產(chǎn)品存在安全缺陷、漏洞、代碼泄露、原料供應(yīng)中斷等風(fēng)險(xiǎn)時(shí)，立即采取補(bǔ)救措施，包括但不限于漏洞修復(fù)、安全替代方案、應(yīng)急響應(yīng)方案等，并及時(shí)通知合作伙伴和需求方。第十二條保證不會(huì)通過在信息技術(shù)產(chǎn)品中設(shè)置后門，或利用提供產(chǎn)品的便利條件非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備，不會(huì)利用需求方對(duì)信息技術(shù)產(chǎn)品的依賴性謀取不正當(dāng)利益，不會(huì)出于市場(chǎng)競(jìng)爭(zhēng)的需要強(qiáng)迫需求方對(duì)信息技術(shù)產(chǎn)品進(jìn)行升級(jí)或更新?lián)Q代。第十三條建立信息技術(shù)產(chǎn)品安全開發(fā)流程，明確開發(fā)管理要求、安全控制措施和人員行為準(zhǔn)則等。第十四條提供所采購的信息技術(shù)產(chǎn)品及部件的可追溯性，記錄并保留信息技術(shù)產(chǎn)品及部件的原產(chǎn)地、原供應(yīng)方等相關(guān)信息。第十五條提供物流服務(wù)供應(yīng)方、物流路線的安全策略，記錄和保留信息技術(shù)產(chǎn)品及部件的倉儲(chǔ)、運(yùn)輸和交付等狀態(tài)。第十六條在規(guī)定或者與需求方約定的期限內(nèi)，不應(yīng)終止提供安全維護(hù)；在需求方授權(quán)的范圍內(nèi)開展運(yùn)行維護(hù)工作，保障信息技術(shù)產(chǎn)品運(yùn)行維護(hù)過程中的數(shù)據(jù)安全，防止數(shù)據(jù)泄露、篡改、損毀，未經(jīng)需求方同意不得向他人提供數(shù)據(jù)或?qū)?shù)據(jù)用于除運(yùn)行維護(hù)以外的目的。第十七條對(duì)信息技術(shù)產(chǎn)品研發(fā)、制造過程中涉及的外國(guó)實(shí)體擁有或控制的技術(shù)專利和知識(shí)產(chǎn)權(quán)，獲得十年以上授權(quán)。第十八條提供中文版運(yùn)行維護(hù)、二次開發(fā)等技術(shù)資料。第十九條供應(yīng)商的服務(wù)工程師崗位出現(xiàn)調(diào)動(dòng)、離職異常情況時(shí)，供應(yīng)商應(yīng)在3天內(nèi)進(jìn)行報(bào)備，以便我公司管理相關(guān)人員的賬號(hào)、權(quán)限和流程變更工作。第四章供應(yīng)方的選擇第二十條供應(yīng)方評(píng)選可采取資料評(píng)估、現(xiàn)場(chǎng)調(diào)研相結(jié)合的方式：（一）供應(yīng)方評(píng)選主要采取資料評(píng)估方式，可以通過咨詢供應(yīng)方歷史客戶意見等方式核實(shí)資料的真實(shí)性；（二）重大項(xiàng)目的供應(yīng)方評(píng)選可以采取現(xiàn)場(chǎng)調(diào)研方式，組織需求方相關(guān)人員對(duì)供應(yīng)方進(jìn)行實(shí)地考察；（三）優(yōu)先選擇安全保護(hù)措施符合國(guó)家法律法規(guī)安全要求，組織運(yùn)轉(zhuǎn)過程和安全措施相對(duì)透明；（四）優(yōu)先選擇承諾遵照本單位相關(guān)制度規(guī)定提供信息技術(shù)產(chǎn)品的；（五）優(yōu)先選擇聲明不使用有惡意代碼產(chǎn)品或假冒產(chǎn)品的；（六）優(yōu)先選擇供應(yīng)方員工可信任的；（七）優(yōu)先選擇使用可信或可控的分發(fā)、交付和倉儲(chǔ)的；（八）優(yōu)先選擇限制從特定供應(yīng)方或國(guó)家采購產(chǎn)品和服務(wù)的。第五章供應(yīng)鏈生命周期管理第二十一條建立供應(yīng)鏈背景分析臺(tái)賬，包含供應(yīng)鏈背景信息、供應(yīng)方基本信息、產(chǎn)品和服務(wù)基本信息、供應(yīng)鏈結(jié)構(gòu)、合作物流、利益相關(guān)者等信息。第二十二條應(yīng)對(duì)供應(yīng)鏈安全威脅進(jìn)行評(píng)估，包含惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露、違規(guī)操作等內(nèi)容。第二十三條應(yīng)對(duì)供應(yīng)鏈安全風(fēng)險(xiǎn)進(jìn)行監(jiān)督和檢查，包含組織資產(chǎn)變更、新增威脅與漏洞、供應(yīng)鏈安全事件等內(nèi)容。第二十四條建立供應(yīng)鏈安全審計(jì)流程，包括技術(shù)事件：軟件、硬件、數(shù)據(jù)等的變更、移除和遷移，對(duì)訪問控制和身份鑒別的監(jiān)測(cè)等；非技術(shù)事件：采購或合同流程的變更，合同內(nèi)容的變更，合同履行能力的變更等。第二十五條對(duì)審計(jì)事件的安全威脅制定應(yīng)對(duì)策略和問責(zé)機(jī)制，可視情況采取暫停執(zhí)行、完善整改、中止合同、列入采購黑名單等措施。第二十六條應(yīng)制定供應(yīng)鏈安全應(yīng)急計(jì)劃，標(biāo)識(shí)關(guān)鍵業(yè)務(wù)流程和產(chǎn)品，進(jìn)行影響分析，確定優(yōu)先級(jí)別，制定替代計(jì)劃或恢復(fù)計(jì)劃，確保發(fā)生安全事故時(shí)，可以維持核心功能。第六章附則第二十七條本規(guī)定由新能源集控中心信息管理部負(fù)責(zé)解釋。第二十八條本規(guī)定自發(fā)布之日起執(zhí)行。

附表：供應(yīng)鏈安全威脅類型描述示例惡意篡改在信息技術(shù)產(chǎn)品供應(yīng)鏈的設(shè)計(jì)、開發(fā)、采購、生產(chǎn)、倉儲(chǔ)、物流、維護(hù)、返回等某一環(huán)節(jié)，對(duì)信息技術(shù)產(chǎn)品進(jìn)行惡意篡改、植入、替換等惡意程序、木馬、未經(jīng)授權(quán)的配置修改、供應(yīng)信息篡改等假冒偽劣信息技術(shù)產(chǎn)品或上游組件存在侵犯知識(shí)產(chǎn)權(quán)、質(zhì)量低劣等問題不合格產(chǎn)品、未經(jīng)授權(quán)的生產(chǎn)、假冒產(chǎn)品供應(yīng)中斷由于人為、自然或社會(huì)環(huán)境等原因，造成信息技術(shù)產(chǎn)品的供應(yīng)量和