7.3 管理安全措施

7.3.1 制度和人員管理

7.3.1.1 管理制度

組織宜：

a） 制定供應鏈管理的總體方針和安全策略，說明供應鏈管理的總體目標、范圍、原則和安全框架等。

b） 對供應鏈建立安全管理制度，包含供應鏈生命周期中主要活動、ICT供應鏈基礎設施和外部供應商管理等內容；

c） 對要求供應鏈管理人員或操作人員執行的重要管理操作建立操作規程；

d） 在供應商關系發生重大變化或供應鏈發生重大安全事件時，對供應鏈安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。

7.3.1.2 管理機構

組織宜：

a） 明確供應鏈安全管理部門，負責指導和協調組織相關部門的供應鏈安全管理工作，并定義供應鏈安全管理職責；

b） 提供用于供應鏈安全管理的資金、資產和權限等可用資源；

7.3.1.2 人員管理

組織宜：

a） 制定針對涉及ICT供應鏈基礎設施的人員的安全要求，包括管理者、員工和第三方人員等；

b） 確保涉及ICT供應鏈各部門、各環節的責任人的可信度，可以滿足對宜職位的安全要求。

c） 及時終止離崗和調任人員對供應鏈基礎設施的訪問權限。包括：

? 采購和承包人員、項目經理、供應鏈和物流人員、運輸和接收人員；

? 信息技術人員、質量人員、組織高層管理人員、系統管理員、網絡管理員、安全管理員。

d） 明確劃分管理和執行ICT供應鏈的人員職責定位，包括：

? 高級管理人員以及支撐ICT供應鏈的簽約、物流、交付/接收、采購安全等職責定位；

? 供應鏈方案管理人員和負責完成方案的需方組織內部人員的職責定位；

? 覆蓋系統生命周期的系統工程師或安全工程師，涉及需求定義、開發、測試、部署、維護、更新、更換、交付和接收、IT技術等職責定位。

7.3.1.3 教育培訓

組織宜：

a） 制定安全培訓計劃，將ICT供應鏈安全風險管理培訓納入安全培訓計劃中，并定期執行；

b） 設立專人負責供應鏈安全培訓工作，培訓對象宜包括所有參與供應鏈基礎設施的組織內部人員和供應商人員或相關責任人；

c） 培訓內容可包括供應鏈安全相關的法律法規、標準規范、程序流程、應急處理等，培訓內容需要根據安全形勢變化和組織，進行不斷更新。

7.3.2 供應鏈生命周期安全

7.3.2.1 配置管理

組織宜：

a） 明確供應鏈管理人員在配置管理中的職責定位，包括確定和協調組織不同部門間在配置管理中的目標、范圍、角色、職責、義務和管理規范；

b） 制定覆蓋全生命周期的配置管理策略，包括定義在整個系統開發生命周期中的配置參數，定義信息系統的配置項并進行配置管理，考慮配置項的數據留存、追蹤和元數據等；

c） 與系統集成商、外部服務提供商等外部供應商協調配置管理策略。

d） 建立相應的實施配置管理控制程序，包括向產品或服務插入和刪除組件的規程，制定主體配置操作手冊，依據手冊對設備進行安全訪問、優化配置更改等工作。

e） 將信息系統設置為僅提供基本功能，禁止或限制使用不必要的物理和邏輯端口、協議或服務，指定可以實現系統最少功能的組件，以減少ICT供應鏈受到攻擊的風險；

f） 對產品/服務和ICT供應鏈基礎設施的變更進行安全影響分析，以確定是否需要采取額外的安全控制措施，影響分析人員宜包含系統工程師和安全工程師；

g） 及時記錄和保存系統的基本配置信息，包括網絡拓撲結構、各個設備安裝的軟件組件、軟件版本和補丁信息、各個設備或軟件組件的配置參數等；

e） 在組織內部建立和維護配置管理基線，包括：

1） 建立信息系統和ICT供應鏈基礎設施的配置基線，并與系統集成商、外部服務提供商和供應商達成一致；

2） 建立基線配置的規范，并可根據需要建立基線配置的開發及測試環境；

3） 記錄基線配置的變更和相關組織的通報、調整；

4） 運行和維護基線配置的基本要求，通過基本要求保證供應鏈的基本安全條件；

5） 定期審核和更新基線配置，實現基線變化的可追溯。

f） 對配置訪問進行安全控制，包括：

1） 對配置更改相關的物理和邏輯訪問控制進行定義、記錄、批準和管理。

2） 對配置的強制執行和自動訪問進行審核和限制；

3） 對簽名組件的更改進行審核和限制，以確定組件使用組織認可和批準的數字簽名證書；

4） 限制軟件庫駐留、查詢、更改的權限，并定義特權程序和相應權限。

5） 建立對非授權訪問實施控制的技術能力和應急響應能力。

g） 對ICT供應鏈基礎設施的配置更改實施安全控制，監控審核配置設置中未授權的更改，包括：

1） 根據職責定位，要求配置的所有者、授權管理者，對配置更改進行系統審核，以確定是否發生未經授權的更改；

2） 明確配置可更改的類型、程序、批準和審計要求；

3） 基于安全風險分析和組織策略，審核對信息系統配置的變更并決定是否批準；

4） 經過審批后才可更改、安裝經審核的配置組件或調整配置參數，操作過程宜保留不可更改的審計日志，操作結束后宜同步更新配置信息庫，識別、記錄所有的配置改變細節，包括與原有配置的差異和原因；

5） 按照組織定義的時間，保留信息系統的配置更改記錄；

6） 建立未經授權的配置更改的應急響應和配置恢復能力；

7） 審計和審核信息系統的配置控制變更相關活動；

8） 提高管理、審核和控制配置更改的自動化程度。

7.3.2.2 供應商開發要求

ICT產品或服務的開發商和供應商宜：

a) 具備軟件開發管理制度，明確開發過程的控制方法、管理流程和人員行為準則；

b) 制定代碼安全規范，要求開發人員參照規范提升代碼質量，例如：

1） 使用最佳安全編碼實踐來避免常見的安全缺陷。

2） 使用安全硬件設計實踐（如適用）。

3） 定期安排對相關人員的安全開發工程實踐培訓。

c) 在發現安全缺陷及漏洞時，立即采取修復或替代方案等補救措施，及時告知用戶安全風險，并按照國家網絡安全監測預警和信息通報制度等要求向有關主管部門報告；

d) 確保具備軟件安全設計的相關文檔和使用指南，并由專人負責保管；

e) 確保具備物理隔離的開發環境，，實際環境的測試數據和測試結果受到控制；

f) 確保開發流程及實踐在整個生命周期中得到記錄、管理及遵循，記錄的開發流程可包含開發合作伙伴。如發現被證實為惡意篡改或偽冒目標的組件，需對其在整個生命周期內的組裝和使用進行跟蹤檢查，并提供解決方案；

g) 執行產品和服務開發生命周期的安全測試管理，制訂產品安全應急響應計劃，以確保各種產品或服務在整個生命周期內達到一定的安全要求。

7.3.2.3 生產交付安全

組織宜：

a) 生產區域具備獨立的電子安全系統并且有專人管理，安保人員按要求實施監控，并維護安保系統 ；

b) 運輸服務商具備服務許可資質、具備電子行業作業經驗，運輸車輛符合安全資質配送要求，運輸作業人員通過組織或運輸服務商提供的安全培訓；

c) 使用資產跟蹤（如RFID或數字簽名等）、GPS定位、APP簽收等措施來保障在生產、運輸、存儲、交付中的系統和相關組件安全，以防止系統和組件被假冒、丟失、受損等導致的供應鏈中斷。

7.3.2.4 安全審計

組織宜：

a） 建立供應鏈管理安全審計制度和流程，對相關的安全事件進行審計和核查。

? 技術事件：包括軟件、硬件、數據等的更改、移除和遷移，對訪問控制和身份鑒別的日志監測等；

? 非技術事件：包括組織安全或運營政策和策略的變化，采購或合同流程的變更，以及系統集成商、供應商和外部服務提供商，對系統或組件計劃進行的更新、優化、淘汰等。

b） 對審計事件進行定級，根據不同的安全等級，采用不同的宜對策略和問責機制；

c） 按要求留存和保護供應鏈相關的審計記錄；

d） 對要公開披露的信息進行審核，包括組織自己披露的信息和授權供應商披露的組織信息；

e） 監測和審計ICT供應鏈活動中的信息共享，包括與系統集成商、供應商和外部服務提供商的信息共享；

f） 在合作協議中，要求系統集成商和外部服務提供商建立適當的審計機制和辦法；

g） 建議系統集成商和外部服務提供商，定期對供應鏈核心系統進行安全風險自審或引入第三方審計；

h） 定期或者根據自身需要，對供應鏈進行來源審核和驗證；

i） 根據訪問控制策略部署安全審計機制，以審核、更新并跟蹤外部供應商第三方對供應鏈基礎設施和相關系統的訪問。

7.3.2.5 應急計劃

組織宜：

a） 針對ICT供應鏈基礎設施，建立、維護并有效實施ICT供應鏈的應急響應和災后恢復計劃，按照年度更新應急響應計劃。

b） 應急響應計劃覆蓋ICT供應鏈基礎設施的基本業務功能及其應急響應需求。

c） ICT供應鏈基礎設施的應急響應計劃可包括：

? 進行業務影響分析，標識關鍵流程和組件及其安全風險，確定優先次序。

? 提供應急響應的恢復目標、恢復優先級和度量指標。

? 描述應急響應的結構和組織形式，明確應急響應責任人的角色、職責及其聯系信息。

d） 將應急響應計劃向供應鏈相關部門及所有干系人進行通報。

e） 如系統發生變更或應急響應計劃在實施、執行或測試中遇到問題，及時修改應急響應計劃并向相關干系人進行通報。

f） 避免應急響應計劃的非授權泄露和更改。

g） 確保在發生安全事故時，實施應急響應計劃以維持供應鏈的基本業務功能。

h） 建立ICT供應鏈信息備份，保障備份信息的保密性、完整性和可用性，并定期驗證信息系統備份的可用性。

i） 確保外部服務提供商提供的信息系統和ICT供應鏈基礎架構組件具有適當的失效備援方案以減少服務中斷，并將其納入服務協議。

7.3.2.6 事件響應

組織宜：

a） 跟蹤、記錄各類事件，并與ICT供應鏈相關的合作伙伴建立雙向溝通機制。

? 對影響ICT供應鏈的事件進行界定和描述，包括對事件等級進行劃分。

? 對響應ICT供應鏈事件的接口人、響應時間、處理要求進行記錄，對處理方式進行說明。

b） 與外部供應商定義統一的事件處理標準，并根據事件處理結果和產生影響，對事件處理標準及時修訂；

c） 指定處于關鍵位置的人員作為事件響應接口人，并授予其一定權限；

d） 確保事件報告相關內容和數據只能由授權的接口人進行傳輸和接收。

7.3.2.7 維護

組織宜：

a） 為信息系統和ICT供應鏈基礎設施制定安全維護策略。

b） 對維護工具的使用和升級進行控制和鑒別，涉及到維護工具的選擇、訂購、存儲、集成、使用和更換等各個環節。

1） 對用于ICT供應鏈基礎設施的維護工具進行部署、測試、驗收，審核是否符合要求。

2） 在未經安全許可的情況下，不允許將正在使用的ICT維護工具（無論軟、硬件）帶離維護現場。

3） 需要記錄對維護工具的使用和存儲情況，如工具的使用者、使用和存儲時間。如果維護工具自身具備審計功能的，建議保持開啟。

a） 當采取適當的保護措施，來管理非本地維護帶來的風險，有關的控制手段推薦如下：

1） 記錄遠程維護的時間、人員和使用的工具；

2） 對信息系統中涉及到遠程維護的審核功能，建議實時開啟；

b） 當采取適當的保護措施，來管理涉及維護人員的相關風險。如對人員進行培訓、利用合同約束條件。

c） 對于備件、更換部件等，組織確保通過原始設備制造商（OEM）或授權分銷商購買。如果OEM不可用，則優選從授權分銷商處購買。如果OEM或授權分銷商仍不可用，只能從非授權分銷商或二級市場購買，宜在購買之前宜進行風險評估。

7.3.3 采購外包與供應商管理

7.3.3.1 供應商選擇

組織宜：

a） 制定供應商選擇策略和制度，根據產品和服務重要程度對供應商開展安全調查；

b） 對關鍵產品和服務供應商實行篩選，與產品和服務供應商進行合作時，組織宜考慮以下幾方面因素：

1） 優先選擇滿足下列條件的供應商：

? 保護措施符合法律法規安全要求。

? 企業運轉過程和安全措施相對透明。

? 對下級供應商、關鍵組件和服務的安全實行進一步核查。

? 在合同中聲明不使用有惡意代碼產品或假冒產品。

? 使用可信任的員工。

2）交貨周期短且穩定。

3）使用可信或可控的分發、交付和倉儲手段。

4）限制從特定供應商或國家采購產品或服務。

c） 在簽署合同前對供應商進行調查，根據實際情況，包括但不限于：

1） 分析供應商對信息系統、組件和服務的設計、開發、實施、驗證、交付、支持過程。

2） 評價供應商在開發信息系統、組件或服務時接受的安全培訓和積累的經驗，以判斷其安全能力。

7.3.3.2 采購過程

組織宜：

a） 在采購前建立與ICT供應鏈的信息安全風險承受能力相適應的采購策略，制定供應商的信息安全基線要求，安全要求宜包括ICT相關的管理要求、技術要求、產銷監管鏈、透明性、供應鏈的信息安全事件共享、部件的廢棄或留存規則、數據、知識產權和其他相關要求。

b） 與供應商簽訂產品和服務采購協議，并體現產品和服務安全保障、保密和驗收準則等內容；

c） 要求供應商對其交付的網絡安全產品實行安全配置，并在安全子系統、安全組件、安全服務重啟或重裝后進行安全默認配置；

d） 確保與供應商簽訂的服務水平協議中的相關指標，不低于與客戶所簽訂的服務水平協議中的相關指標；

e） 要求產品和服務供應商制定用戶文檔，可涵蓋以下信息：

? 產品和服務的安全配置，以及安裝和運行說明；

? 與管理功能有關的配置和使用方面的注意事項；

? 有助于用戶更安全地使用信息系統、組件或服務的方法或說明；對用戶安全責任和注意事項的說明。

7.3.3.3 供應商管理

組織宜：

a） 要求供應商提供所交付產品和服務的安全功能、應急響應措施和培訓計劃；

b） 要求供應商發現其交付的產品和服務的脆弱性和漏洞后，及時通報并進行快速修復；

c） 要求供應商對其交付的產品和服務實行防篡改措施，并協助組織定期檢查產品和服務是否受到篡改；

d） 要求供應商制定和實施防贗品的策略和規程，檢測并防止贗品組件進入產品或服務；

e） 要求供應商變更時，對供應商變更帶來的安全風險進行評估，并采取有關措施對風險進行控制；

f） 根據組織供應鏈安全檢查需求或系統安全要求，產品和服務供應商宜協助提供ICT供應鏈相關資料；

g） 要求供應商在合同約定期限內持續提供支持，若供應商需使用不被支持的產品和服務時需獲得組織管理層批準。