郑州电力职业技术学院供应链安全管理制度

第一章 总则

第一条 制定目的与依据。为保障我校信息系统与数据的机密性、完整性和可用性，防范因外部产品和服务引入的供应链安全风险，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》及相关法律法规与国家标准，结合我校实际情况，特制定本制度。

第二条 适用范围。本制度适用于所有为我校提供信息系统（含软件、硬件）建设、开发、运维、运营、数据处理及云服务等活动的供应商（包括但不限于产品生产商、开发商、集成商、服务商及其人员）。所有供应商在参与我校相关项目前，必须同意并遵守本制度。

第三条 管理原则。供应链安全管理遵循“安全优先、预防为主、全程管控、协同共治”的原则。将安全要求融入供应商准入、合同签订、项目实施、运维运营及合作终止的全生命周期，构建权责清晰、管控有力、响应迅速的安全管理体系。

第二章 组织架构与职责

第四条 领导与决策机构。学校网络安全与信息化领导小组（以下简称领导小组）是供应链安全管理的最高决策与领导机构。

角色定位：统筹协调全校供应链安全重大事项，对战略性、全局性安全问题做出决策。

职位部署：由学校主要领导担任组长，分管网络安全、信息化的校领导担任副组长，成员包括各主要部门负责人。

主要职责：

1.审定学校供应链安全战略、管理规范和重大政策。

2.审批涉及核心业务和敏感数据的重要供应商准入资格。

3.指挥应对重大供应链安全事件。

4.监督和考核各相关部门供应链安全管理职责的履行情况。

第五条 日常管理与执行机构。教育信息化中心是供应链安全管理的牵头负责与日常执行机构。

角色定位：供应链安全管理的日常执行与监督主体。

主要职责：负责本制度的制定与修订；组织供应商的准入审核、安全评估与定期考核；监督供应商在合同期内的安全表现；建立和维护供应商安全档案。

第六条 协同与配合机构。各业务部门是供应链安全管理的关键协同单位。

角色定位：供应链安全管理的需求提出和一线应用单位。

主要职责：明确业务需求中的安全要求；参与所属业务领域供应商的初选与日常监督；发现并报告供应商的安全问题。

第三章 供应商全生命周期安全管理

第七条 供应商管理

1.准入管理：建立供应商准入标准，对潜在供应商进行严格的资质、信誉、技术能力和安全背景调查。优先选择拥有健全安全管理体系（如通过ISO27001认证）的供应商。

2.运行安全：要求供应商对其提供的产品和服务进行全生命周期的安全维护，及时发布和修复安全漏洞。未经我校许可，不得在运行环境中私自安装任何软件或更改配置。

3.数据安全与服务人员安全：具体要求见第八、九、十条。

4.自主知识产权要求：供应商须保证其提供的产品、技术和服务不侵犯第三方知识产权，并确保我校在使用过程中免受相关知识产权纠纷的困扰。对于定制化开发成果，应在合同中明确知识产权的归属。

5.应急处置：供应商必须制定针对其产品和服务的安全事件应急预案，并纳入我校的整体应急响应体系。发生安全事件时，须立即启动预案，并按要求向我校报告、协同处置。

6.考核机制与处罚措施

考核机制：领导小组牵头，每年对核心供应商进行一次综合安全考核，内容包括合同履行情况、安全事件记录、问题响应与整改效率等。

处罚措施：根据考核结果和违规严重程度，采取约谈警告、要求经济赔偿、暂停合作、列入供应商“黑名单”并终止合作等措施。对因供应商责任造成我校重大损失或声誉损害的，将依法追究其法律责任。

第四章 人员安全管理

第八条 外部人员安全审查。对所有接触我校核心系统、数据或拥有管理权限的供应商人员，必须执行以下审查：

1.背景审查与从业调查：供应商须提供其人员的无犯罪记录证明，并根据项目涉密等级，进行必要的从业背景调查。

2.保密审查：由我校保密办公室会同信息化部门，对涉密项目人员进行保密资格审查。

3.签署保密协议：所有上述人员必须与我校签署具有法律效力的保密协议，明确其保密责任与义务，该协议独立于供应商与我校的主合同。

第九条 开发与运维人员监管。对供应商的建设、开发、运维等人员的工作内容，实施严格的监管机制：

1.最小权限原则：严格按照岗位需求分配系统权限，禁止赋予与工作无关的权限。

2.操作审批与监护：所有对生产环境的变更、代码更新、数据查询等高风险操作，必须事先申请并获得业务部门和信息化部门的书面审批。操作时，应尽可能在我方人员监护下进行。

3.代码安全审计：对供应商提交的软件代码，需进行静态或动态的安全扫描与审计，确保无恶意代码和后门。

4.工作成果交付物审核：对所有交付的文档、软件、配置脚本等进行安全审核。

第十条 服务人员操作监测与记录。对供应商服务人员接入我校信息系统开展的各类操作，必须进行全面的监测和记录。

1.强制日志审计：开启并强制收集所有运维操作、数据库查询、文件访问等行为的日志。

2.会话录制：对远程接入生产环境的操作会话（如RDP, SSH）进行全程录像。

3.日志集中管理与分析：所有日志须统一传输至我校的安全信息与事件管理（SIEM）平台，进行集中存储、分析和异常行为告警。日志保存期限不少于六个月。

第五章 数据安全管理

第十一条 数据分级分类。根据国家及我校《数据分类分级标准与管理办法》，对供应商可接触的数据进行明确分级：

1.核心数据：涉及学校核心竞争力和重大公共利益的数据（如未公开的重大科研数据、核心算法等）。

2.重要数据：敏感个人信息、关键业务运营数据、重要的教学科研数据等。

3.一般数据：公开信息或经脱敏处理的无敏感信息数据。

供应商接触数据的级别和范围，必须在合同中进行明确约定，严禁超范围访问。

第十二条 数据全生命周期安全管控。供应商在处理我校数据的各个环节，必须采取与其数据级别相匹配的安全管控措施：

1.收集：确保数据来源合法合规，明确告知收集目的和范围。

2.存储：核心和重要数据须在我校境内存储。存储时必须进行加密，并采取严格的访问控制。

3.使用与加工：只能在授权范围内为特定目的使用数据。数据分析、测试等环节必须使用脱敏后的数据。

4.传输：在网络上传输核心和重要数据，必须使用加密通道（如VPN, TLS）。

5.销毁：在服务终止或数据无需再使用时，必须按照我校要求，采用不可恢复的方式（如物理粉碎、多次覆写）彻底销毁数据，并提供销毁证明。

第六章 附则

第十三条 本制度由学校教育信息化中心负责解释。

第十四条 本制度自发布之日起生效。