- 相關推薦
供應鏈安全管理辦法
供應鏈風險管理:預防與應對,保障企業(yè)穩(wěn)健發(fā)展。供應鏈風險管理對于企業(yè)的穩(wěn)健發(fā)展至關重要,它涉及預防與應對各種可能影響供應鏈運轉和業(yè)務運作的不確定因素。以下供應鏈管理咨詢將從幾個關鍵方面來詳細闡述供應鏈風險管理的預防與應對策略,企業(yè)在制定供應鏈風險管理方案時可以參考下。
供應鏈安全管理辦法 1
第一章總則
按照“源頭管控、安全可靠、持續(xù)監(jiān)管、風險可控”原則,選擇符合安全要求的合規(guī)合格供應商,保障其為中心提供的產(chǎn)品和服務符合安全要求,加強風險控制,消除供應鏈不安全隱患。
本辦法適用于所有向中心提供產(chǎn)品和服務的供應商,包括但不限于規(guī)劃設計、開發(fā)建設、網(wǎng)絡安全產(chǎn)品、IT產(chǎn)品、網(wǎng)絡運維、技術檢測、等級檢測、風險評估、安全整改、安全測評等單位。
第二章職責劃分
網(wǎng)絡安全領導小組辦公室的職責包括:
1.負責組織供應鏈安全的日常管理工作。
2.根據(jù)供應鏈安全工作的要求和規(guī)范,制定內(nèi)部的安全檢查計劃及方案,并上報中心網(wǎng)絡安全領導小組。
3.定期組織對項目開展安全技術檢測及整改工作,檢測整改情況并上報中心網(wǎng)絡安全領導小組。
4.制定完善供應鏈安全事件的應急響應預案,及時處置并上報重大安全隱患。
各網(wǎng)絡責任部門的職責包括:
1.負責本部門項目的建設、開發(fā)、運維過程中的供應鏈安全管理。
2.調(diào)研項目相關供應商符合信息安全要求的相關資質(zhì),確認供應商已建設符合國家標準的信息安全體系。
3.與供應商簽訂安全協(xié)議。
4.對第三方人員進行安全教育,對重要崗位人員進行背景調(diào)查并簽訂保密協(xié)議。
5.定期對項目進行漏洞修復。
第三章安全建設管理規(guī)定
各網(wǎng)絡責任部門應檢查項目中使用的軟件、中間件及網(wǎng)絡設備、安全設備、服務器、手持設備等硬件,查清重要供應鏈產(chǎn)品的版本、型號、生產(chǎn)廠商、開發(fā)類型、涉及操作系統(tǒng)、是否有信息回傳廠商及回傳信息的主要內(nèi)容等基本要素,形成供應鏈產(chǎn)品清單并上報網(wǎng)絡安全領導小組辦公室備案。
各網(wǎng)絡責任部門應對關鍵基礎設施、重要網(wǎng)絡和大數(shù)據(jù)提供服務和產(chǎn)品的供應鏈企業(yè)進行梳理排查,主要包括設計方、開發(fā)方、承建方、網(wǎng)絡安全產(chǎn)品提供方、信息化產(chǎn)品提供方、運維方、安全服務提供方、信息安全測評方及其他參與方等企業(yè),形成供應鏈企業(yè)清單。
各網(wǎng)絡責任部門應根據(jù)供應鏈產(chǎn)品清單,檢查各供應商銷售許可證并采用源代碼安全審計、開源組件安全檢查、軟件安全性深度測試等技術檢測手段對產(chǎn)品開展安全自查和技術檢測,最終形成供應鏈產(chǎn)品安全隱患清單并上報網(wǎng)絡安全領導小組辦公室備案。
第八條要求各網(wǎng)絡責任部門檢查供應商的銷售許可證,并采用源代碼安全審計、開源組件安全檢查、軟件安全性深度測試等技術檢測手段對產(chǎn)品進行安全自查和技術檢測。檢查結果應形成供應鏈產(chǎn)品安全隱患清單,并上報網(wǎng)絡安全領導小組辦公室備案。
第九條要求各網(wǎng)絡責任部門對供應鏈企業(yè)進行調(diào)研,梳理供應商的組織架構、軟件類別、軟件來源、軟件功能、軟件源代碼量、軟件開發(fā)語言及供應商自身企業(yè)網(wǎng)絡整體安全建設內(nèi)容。調(diào)研結果應形成供應鏈企業(yè)安全隱患清單,并上報網(wǎng)絡安全領導小組辦公室備案。
第十條要求各網(wǎng)絡責任部門根據(jù)供應鏈產(chǎn)品安全隱患清單和供應鏈企業(yè)安全隱患清單,開展供應鏈產(chǎn)品和企業(yè)的安全隱患整改。整改結果應形成供應鏈安全隱患整改清單,并上報網(wǎng)絡安全領導小組辦公室備案。
第十一條規(guī)定項目涉及的市場采購軟件產(chǎn)品必須滿足信息安全規(guī)范要求,定制開發(fā)軟件必須通過第三方評測機構的審查。
第十二條要求各網(wǎng)絡責任部門將供應鏈安全例行檢查納入日常運維工作中,并將相關檢查結果記錄留檔備查。
第十三條要求各網(wǎng)絡責任部門根據(jù)項目變更情況及時更新供應鏈產(chǎn)品安全清單和供應鏈企業(yè)安全清單,并組織自查并更新供應鏈產(chǎn)品安全隱患清單和供應鏈企業(yè)安全隱患清單。整改結果應及時形成供應鏈安全隱患整改清單,并更新間隔時間不宜超過一年。
第十四條要求各網(wǎng)絡責任部門重視供應鏈安全管理。應選擇具有相關專業(yè)資質(zhì)的單位提供外包服務,并嚴格界定外包服務業(yè)務范圍和工作內(nèi)容。簽訂保密協(xié)議,并對外包服務單位工作人員進行必要的背景審查和保密審查。關鍵崗位嚴禁由外包人員擔任。
第十五條要求對接觸核心系統(tǒng)、數(shù)據(jù)或擁有管理權限的外部人員進行背景審查和保密審查,并經(jīng)網(wǎng)絡責任部門同意批準后上報網(wǎng)絡安全領導小組辦公室備案。
第十六條要求各網(wǎng)絡責任部門對外部人員進場開展運維和技術服務應建立登記備案制度,并通過專人全程陪同或堡壘機等技術手段監(jiān)測操作行為。規(guī)范外包服務人員的終端接入,嚴禁非授權接入和操作,并嚴禁復制和泄露任何敏感信息。
第十七條要求外包服務人員因履行服務內(nèi)容需要帶出的設備、資料和介質(zhì)均需事先審核批準,并記錄帶出人、帶出時間、歸還時間和用途等。
第十八條要求外包服務人員對開展工作所需的各類賬戶,須向被服務部門提前申請并獲得批準。各部門應遵循“最小權限原則”合理分配外包服務人員操作權限,減小外包服務人員誤操作或濫用權限導致發(fā)生各種意外事件帶來的影響。
第十九條規(guī)定各部門應該加強對外包服務人員變更管理,并建立完善的變更流程。如果外包服務團隊中的人員需要變更,就必須向被服務部門申請并獲得批準及備案。
根據(jù)第二十條,當外包服務項目結束時,所有屬于中心或責任部門的設施設備必須歸還,該服務項目所需的全部賬號必須視具體情況凍結或刪除,所有本地或遠程訪問通道必須關閉。
第六章涉及風險管控和預警應急。根據(jù)第二十一條規(guī)定,應該每年對供應商開展一次信息安全評估工作,并保留評估記錄。
根據(jù)第二十二條,各網(wǎng)絡責任部門應該對有關部門通報的.安全風險隱患和預警及時組織處置。他們應該準確研判受漏洞等威脅元素影響的供應鏈產(chǎn)品并整改修復,無法修復的應采取必要補救措施控制風險。他們還應該主動及時掌握供應鏈產(chǎn)品和服務相關的安全信息,并在廠商和安全機構修復方案公開發(fā)布后立即核查整改。如果由于技術條件限制,不能按期整改但需繼續(xù)運行,他們應該采取必要措施,避免發(fā)生安全事件,并報告網(wǎng)絡安全領導小組辦公室。
第二十三條規(guī)定各網(wǎng)絡責任部門應該加強供應鏈安全事件應急管理,按照中心安全事件應急預案,強化一分鐘處置措施,定期開展應急演練。如果有條件的話,他們應該積極開展實戰(zhàn)攻防演練,并根據(jù)演練結果完善應急預案。相關演練計劃、腳本、記錄、總結等資料應該留檔提交網(wǎng)絡安全領導小組備查。
根據(jù)第二十四條,安全事件發(fā)生后,各網(wǎng)絡責任部門應該根據(jù)事件類型和級別,立即啟動應急預案,做好事件處置,最大程度減少損失和危害,并及時開展信息通報。
第二十五條規(guī)定安全事件處置完成后,網(wǎng)絡責任部門應該及時完成事件調(diào)查和評估工作,對事件的起因、性質(zhì)、影響、責任等進行分析評估,并提出處理意見和改進措施。
附件1是供應鏈企業(yè)清單,需要填寫企業(yè)名稱、所屬省市、具體地址、聯(lián)系人、聯(lián)系電話、服務內(nèi)容和備注。
附件2是供應鏈產(chǎn)品清單,需要填寫產(chǎn)品名稱、生產(chǎn)廠商、版本號和涉及的操作系統(tǒng),以及是否有信息傳回廠商和傳回的主要內(nèi)容等備注。
附件3是供應鏈安全例行檢查,需要填寫檢查項和檢查結果,并在備注中注明責任部門和填報人。檢查項目包括采購的軟件產(chǎn)品是否通過了國家網(wǎng)絡安全審查、是否通過第三方測評機構的審查、軟件設計缺陷與開發(fā)中產(chǎn)生的漏洞、開源軟件在開發(fā)過程中可能存在缺陷和漏洞、供應商建設是否符合國家標準的信息安全體系、系統(tǒng)重要數(shù)據(jù)存取的合規(guī)、是否有非法人員進入了系統(tǒng),以及系統(tǒng)的數(shù)據(jù)存取記錄。
1.檢查系統(tǒng)運行情況
在檢查生產(chǎn)系統(tǒng)的運行情況時,需要關注以下幾個方面:是否存在非法作業(yè)或程序曾在系統(tǒng)中運行;系統(tǒng)是否正常運行,是否遺漏或重復執(zhí)行了當天應該執(zhí)行的作業(yè);是否執(zhí)行了特殊作業(yè)或臨時作業(yè)。同時,需要檢查生產(chǎn)系統(tǒng)的聯(lián)機和批處理作業(yè)的運行日志,以發(fā)現(xiàn)潛在的問題。
2.檢查系統(tǒng)參數(shù)和數(shù)據(jù)變更記錄
為確保系統(tǒng)的穩(wěn)定性和安全性,需要檢查是否曾修改過系統(tǒng)重要參數(shù),并對重要數(shù)據(jù)的變更記錄進行審查。這樣可以及時發(fā)現(xiàn)數(shù)據(jù)異常或惡意修改的情況,保障系統(tǒng)的正常運行。
3.檢查數(shù)據(jù)備份及存儲情況
數(shù)據(jù)備份是保障系統(tǒng)數(shù)據(jù)安全的重要手段,因此需要檢查數(shù)據(jù)備份的執(zhí)行情況和存儲情況。檢查備份數(shù)據(jù)是否完整,存儲是否安全可靠,以確保在系統(tǒng)出現(xiàn)故障或數(shù)據(jù)丟失時能夠及時恢復數(shù)據(jù)。
供應鏈安全管理辦法 2
第一章 總則
第一條 為了打造以供應鏈為核心的營銷交付一體化管理體系,實現(xiàn)采購行為的規(guī)范、高效、透明、可控,保障項目收益最大化,特制訂本辦法。
第二條 本辦法適用于公司及控股子公司。
第三條 組織機構
1、 經(jīng)營管理委員會是公司供應鏈管理工作的決策機構,負責供應鏈管理制度的批準、談判人任職資格條件的設定、《合格供應商名錄》的審批。
2、 營銷管理委員會是公司供應鏈管理工作的審核機構,負責談判人任職資格的審批、《合格供應商名錄》的審核,對于供應鏈管理中出現(xiàn)的問題出具處理意見。
3、 產(chǎn)品負責人負責產(chǎn)品線技術方案的確定、外購產(chǎn)品的選型、技術驗證,負責供應商開發(fā)、準入評價及日常管理,負責組織外購產(chǎn)品的商務談判,負責推薦談判人;負責《投標設備成本》的核算、批準,負責《采購預算變更》(金額增加)的批準。
4、 銷售負責項目土建成本的核算,《投標報價成本》的批準,推薦供應商;負責項目交付過程中的采購執(zhí)行,包括采購下單、組織設備進場、采購付款申請、到貨驗證及質(zhì)量跟蹤。
5、 資本經(jīng)營中心負責采購資金計劃的制定、發(fā)布及執(zhí)行,負責項目資金收支計劃的制定、發(fā)布及執(zhí)行。
6、 風險控制中心負責相關制度的擬定,負責《合格供應商名錄》的更新及發(fā)布,負責對制度執(zhí)行情況進行監(jiān)督、檢查,對執(zhí)行結果進行匯總分析及定期發(fā)布。
第四條 崗位職責
1、 談判人
1) 負責供應商準入談判;
2) 按照采購成本下浮的目標,完成年度、季度、月度談判工作;
3) 在項目交付階段,按照單項合同價格下浮目標,完成談判工作。
2、 主設計師
1) 項目投標階段,負責《投標設備成本》核算;
2) 項目深化設計完成后,按照工程實施方案調(diào)整《投標設備成本》;
3) 完成《項目采購預算》的導入。
3、 大項目經(jīng)理
1) 負責項目土建成本的核算;
2) 負責審核《投標設備成本》。
4、 工程項目經(jīng)理
1) 負責擬定《項目設備進場計劃》;
2) 負責項目交付過程中的采購執(zhí)行,包括采購下單、組織設備進場、采購付款申請、到貨驗證及質(zhì)量跟蹤。
第五條 供應鏈管理原則
1、 能夠與廠家直接簽署的杜絕從分銷商采購。
2、 設備采購不得超出《合格供應商名錄》范圍,如有特殊情況需要超范圍采購的,必須在投標前由大項目經(jīng)理向產(chǎn)品負責人提出申請,由談判人組織完成供應商準入談判。
3、 土建施工類的`采購不得超出公司定額標準,如有特殊情況超出的,原則上采用招標方式確定供應商。土建及安裝調(diào)試必須進行決算后方可支付剩余款項。
4、 戰(zhàn)略合作類項目、子系統(tǒng)分包按照“背對背”原則付款。
5、 設備采購與其他業(yè)務不得合并采購。
第二章 工作流程
第六條 供應商開發(fā)
1、 產(chǎn)品部門根據(jù)產(chǎn)品線技術需求及設備選型的結果提出候選供應商名單,經(jīng)產(chǎn)品部門負責人批準后,談判人組織供應商準入談判;
2、 銷售根據(jù)項目需求提出候選供應商名單,經(jīng)產(chǎn)品部門負責人批準后,產(chǎn)品部門組織產(chǎn)品驗證,驗證通過后,談判人組織供應商準入談判;
3、 鼓勵公司員工推薦優(yōu)秀供應商,經(jīng)產(chǎn)品部門負責人批準后,產(chǎn)品部門組織產(chǎn)品驗證,驗證通過后,談判人組織供應商準入談判。
第七條 談判小組的組成
談判小組按產(chǎn)品類型進行分組,由主談判人作為組長,產(chǎn)品部門負責人及相關人員作為小組成員。談判小組成員不能少于三人,且人數(shù)為單數(shù)。
第八條 談判方式
談判一般采取邀標、招標或競爭性談判的方式,特殊情況可以采用單一來源采購。
采用單一來源采購方式的,必須經(jīng)產(chǎn)品部門負責人批準后,報營銷委員會審批。
第九條 邀標方式
此方式主要用于合格供應商價格下浮及商務條款優(yōu)化的談判。
1、 向合格供應商發(fā)出邀請函,供應商應在5個工作日內(nèi)應標并填報《供應商信息表》;
2、 成立談判小組;
3、 談判小組成員填寫《供應商考核表》,根據(jù)考核綜合評分,確定供應商的屬性,報產(chǎn)品部門負責人審批;
4、 談判小組將審批結果及相關資料提交風險控制管理中心。
第十條 招標方式
1、 產(chǎn)品部門負責編寫招標文件技術部分,談判人負責擬定商務條款。
2、 成立評標小組,評標小組的組成與談判小組要求一致。
3、 在公司招標平臺上發(fā)出招標公告及招標文件。
4、 供應商在十個工作日內(nèi),提交投標文件。
5、 投標供應商不得少于三家,不足三家的,經(jīng)產(chǎn)品部門負責人批準后轉入競爭性談判方式。
6、 評標工作要求在一個工作日內(nèi)完成,采購金額較大或技術情況復雜的,可適當延長。
7、 評標小組成員填寫《供應商考核表》,根據(jù)考核綜合評分,確定供應商的屬性,報產(chǎn)品部門負責人審批。
8、 評標小組將審批結果及相關資料提交風險控制管理中心。
第十一條 單一來源采購方式
1、 產(chǎn)品部門填寫《單一來源采購申請表》,制定單一來源采購談判計劃。
2、 經(jīng)產(chǎn)品部門負責人批準后,報營銷委員會審批。
3、 產(chǎn)品部門向供應商發(fā)出《單一來源采購邀請函》,供應商應在3個工作日內(nèi)應標并填報《供應商信息表》。
4、 成立談判小組;
5、 談判小組成員填寫《供應商考核表》,根據(jù)考核綜合評分,確定供應商的屬性,報產(chǎn)品部門負責人審批;
6、 談判小組將審批結果及相關資料提交風險控制管理中心。
第十二條 供應商的屬性劃分
A類:首選供應商,建立公司層面長期合作的產(chǎn)品供應商;
B類:備選供應商,一定范圍內(nèi)存在合作關系的產(chǎn)品供應商;
C類:合作供應商,個別項目存在合作關系的產(chǎn)品供應商。
第十三條 采購分配原則
1、 A類供應商為公司首選合作供應商,年度采購量約占公司同類產(chǎn)品采購總量的70%:
2、 B類供應商為公司備選合作供應商,年度采購量約占公司同類產(chǎn)品采購總量的30%。
第十四條 供應商資質(zhì)要求
1、 具有獨立法人資格,提供營業(yè)執(zhí)照、稅務登記證、組織機構代碼證等相關證件;
2、 具有與供貨規(guī)模相一致的經(jīng)營規(guī)模及資金實力;
3、 了解我公司的生產(chǎn)經(jīng)營情況和采購需求;
4、 供應商必須服從公司的管理,嚴格遵守公司各項規(guī)章制度;
5、 供應商應具有熟悉供貨物資的業(yè)務人員,確保供應物資符合采購要求;
6、 供應商必須嚴格遵守商業(yè)操守。
第十五條 供應商考核
考核原則:量化考評,公平競爭,優(yōu)勝劣汰
1、 由相關產(chǎn)品部門負責組織,銷售、風險控制管理中心等組成供應商考核評價小組;
2、 考核評價小組對供應商產(chǎn)品的質(zhì)量、價格、供貨時間、服務等做出綜合評價,原則上每年不得少于一次;
3、 考核得分90分及以上的為A類,考核得分在70分-89分之間的為B類,考核得分在60分-69分之間的為C類,考核得分在60分以下的,不得列入《合格供應商名錄》。
4、 風險控制管理中心負責匯總考核評價結果,報營銷委員會審核,提交經(jīng)營委員會批準。
第三章 發(fā)布機制
第十六條 供應商名錄更新
1、 談判人將談判結果提交產(chǎn)品部門負責人批準后,產(chǎn)品部門相關人員匯總后提交風險控制管理中心;
2、 風險控制管理中心負責更新《合格供應商名錄》,提交營銷委員會審核,通過后上報經(jīng)營委員會批準。
3、 風險控制管理中心負責發(fā)布《合格供應商名錄》。
第十七條 銷售指導價發(fā)布
1、 產(chǎn)品部門負責擬定自有產(chǎn)品的銷售指導價,經(jīng)產(chǎn)品部門負責人批準后,發(fā)布至經(jīng)本產(chǎn)品部門認證的主設計師;
2、 談判人負責擬定外購產(chǎn)品的銷售指導價,經(jīng)產(chǎn)品部門負責人批準后,發(fā)布至經(jīng)本產(chǎn)品部門認證的主設計師;
3、 主設計師跟據(jù)以上銷售指導價核算項目《投標設備成本》;
4、 大項目經(jīng)理按照《投標設備成本》測算的項目利潤低于公司要求的,可以提出申請,由銷售負責人與產(chǎn)品部門負責人協(xié)商確定投標報價。
第四章 獎懲措施
第十八條 對于談判人及談判小組成員,按照采購成本節(jié)約額的一定比例發(fā)放采購節(jié)約獎金。采購成本節(jié)約額以當期執(zhí)行的《供應商名錄》中的采購價格與實際采購價格的差額乘以當月采購下單量綜合計算。獎金發(fā)放的比例暫定為10%。
第十九條 產(chǎn)品部門以外的人員向公司推薦供應商的,經(jīng)準入評審確定為合格供應商的,自納入《合格供應商名錄》之日起一年內(nèi),有權參加采購節(jié)約獎金的分配。
第二十條 采購節(jié)約獎金按月發(fā)放,由談判人負責計算、分配,金額由風險控制管理中心負責審核,分配方案報營銷委員會備案。
第二十一條 對于相關人員未能履行職責,影響項目按期交付的,將按照六時點工作法的規(guī)定進行處罰。風險控制管理中心負責擬定處罰意見,報營銷委員會批準后執(zhí)行。
第五章 其他
第二十二條 風險控制管理中心負責組織相關部門完成月度采購情況分析報告,經(jīng)營銷委員會審核后,向經(jīng)營委員會報告。
第二十三條 本辦法由經(jīng)營管理委員會批準后實施,由營銷管理委員會負責解釋。
【供應鏈安全管理辦法】相關文章:
供應鏈管理辦法01-13
安全管理辦法12-06
班組安全管理辦法03-22
安全工作的管理辦法06-09
電梯安全管理辦法06-09
鍋爐安全管理辦法07-11
安全檢查管理辦法06-09
安全風險管理辦法06-09
安全投入保障管理辦法03-28