2026年供应商安全评价管理制度规范

2026年供应商安全评价管理制度规范第一章总则1.1为建立覆盖采购全生命周期的供应商安全治理体系，防范因外部合作带来的信息泄露、业务中断、合规违规及声誉损失，依据《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及公司《全面风险管理制度》《采购管理办法》等上位制度，制定本规范。1.2本规范适用于公司总部、各事业部、全资及控股子公司、境外代表处（以下统称“公司”）在软硬件采购、云服务、运维外包、物流仓储、咨询设计、维保、测试、人力外包等全部外部合作场景中对供应商的安全评价、准入、监控、退出与持续改进活动。1.3供应商安全评价管理遵循“风险导向、分级管控、全链闭环、量化可溯”原则，以“最低权限+最小暴露面+持续验证”为技术底座，以“合同约束+技术检测+过程审计+绩效挂钩”为治理抓手，实现“准入可验证、过程可监控、结果可量化、责任可追究”。1.4公司设立“供应商安全评价委员会”（以下简称“安评委”），由首席信息安全官（CISO）任主任，采购中心、法务中心、内审部、业务归口部门、数据保护官（DPO）、区域合规代表等组成，实行“一票否决+多数决”双轨决策机制。安评委办公室设在网络安全部，负责日常运营与系统维护。1.5供应商安全评价结果纳入公司“供应链数字孪生平台”，与财务付款、订单分配、续签评估、黑名单联动，实现“安全分低必限、重大违规必退、整改逾期必罚”。第二章术语与定义2.1供应商：指为公司提供商品、服务或工作成果的外部法人或非法人组织，包括代理商、分销商、联合体、云市场第三方及其分包商。2.2安全评价：指依据本规范设定的控制域、度量指标与评分模型，对供应商的安全能力、合规水平、历史表现、持续改进意愿进行量化评估与风险定级。2.3关键供应商：满足以下任一条件即纳入关键供应商名录：a)年度采购金额≥人民币1000万元；b)涉及公司核心知识产权、源代码、算法、模型、核心生产数据；c)支撑公司A级业务系统（参考《业务系统分级指南》）持续运行；d)境外主体且跨境传输≥10万条个人信息或1GB重要数据；e)安评委认定的其他高风险场景。2.4重大安全事件：指供应商在合作周期内发生的、被监管机构通报或公司认定的数据泄露、业务中断≥4小时、恶意代码植入、勒索软件、伪造交付物、供应链投毒、后门未声明、合规处罚≥50万元等事件。第三章组织与职责3.1网络安全部（安评委办公室）a)制定并动态修订评价模型、指标库、评分脚本；b)维护“供应链数字孪生平台”安全评价模块；c)组织年度现场/远程渗透测试、红蓝对抗、基线核查；d)发布年度《供应商安全白皮书》与风险TOP10榜单；e)对关键供应商开展半年度飞行检查。3.2采购中心a)在采购立项阶段发起安全预筛，将安全评分嵌入招采文件；b)在合同草拟阶段将安全控制点转化为可验收条款；c)对安全整改逾期供应商执行“付款冻结+订单减量”；d)每季度向安评委报送供应商绩效数据。3.3业务归口部门a)担任供应商安全第一责任人，指定“安全对接人”；b)参与技术尽调、现场审核、整改复核；c)在需求变更、扩容、续签环节重新触发安全评估；d)对供应商驻场人员实施“双因子准入+行为审计”。3.4法务中心a)将安全违约责任、数据跨境条款、源代码托管、漏洞赏金、应急演练、保险购买等纳入标准合同模板；b)对重大违规供应商启动诉讼、仲裁或财产保全；c)每半年度发布《供应链合规案例库》。3.5内审部a)对安全评价全流程进行独立审计，覆盖率≥30%；b)对评分造假、瞒报事件、利益输送等问题启动问责；c)向董事会审计委员会提交年度供应商安全治理报告。第四章评价模型与指标4.1控制域采用“5+1”架构：治理与合规（G）、数据与隐私（D）、基础设施与云（I）、软件开发与交付（S）、运营与应急（O）、持续改进（C）。4.2权重分配关键供应商：G20%D25%I15%S20%O15%C5%一般供应商：G15%D20%I15%S20%O20%C10%4.3评分等级满分1000分，等级映射如下：等级分数段风险描述采购策略A≥900卓越优先中标、预付款比例+5%、续签绿色通道B800-899良好正常采购，年度抽检C700-799中等限价5%、增设里程碑验收、安全保证金+2%D600-699较高限价10%、强制整改、付款节点延后30天E<600极高暂停新订单、限期3个月整改，逾期拉黑4.4指标示例（节选）序号控制域指标名称评价要点评分方法最高得分G01治理与合规安全治理架构是否建立董事会层级的供应链安全委员会，年度至少2次会议，会议纪要公开可查文件审查+访谈30G02治理与合规合规映射表提供最新版ISO27001、ISO27701、ISO22301、CSASTAR、等保2.0三级及以上证书，且证书覆盖范围包含本次服务证书核验+范围抽样40D01数据与隐私数据分类分级建立企业级数据分类分级制度，敏感数据清单与流转图，自动化发现率≥95%系统演示+日志抽检50D02数据与隐私跨境传输评估完成数据出境安全评估申报或认证，提供省级以上网信办回执回执核验60I01基础设施云安全责任共担提供责任共担矩阵，IAM最小权限模型，超级管理员双人审批+硬件MFA配置核查+渗透测试40S01软件开发安全开发生命周期SDL提供SDL流程图、威胁建模报告、代码审计报告、第三方组件SBOM清单，高危漏洞修复率100%抽样审计+漏洞复测60O01运营与应急应急演练年度至少1次与公司联合演练，演练场景包含数据泄露、勒索软件、供应链投毒，RTO≤2小时演练报告+现场观摩50C01持续改进漏洞赏金计划自建或加入第三方漏洞赏金平台，年度有效漏洞数≥20，高危漏洞平均修复时长≤15天平台数据+修复记录304.5评分脚本采用Python3+SaltStack+OpenSCAP+ELK，自动拉取供应商云配置、源代码仓库、漏洞平台、证书机构API，实现“配置-检测-评分-报告”一键输出。脚本仓库由GitLab私有库托管，分支保护+代码评审+CI/CD流水线，确保脚本自身可信。第五章评价流程5.1阶段划分预筛→准入→签约→持续监控→年度复评→退出。5.2预筛采购中心在ERP创建采购申请时，系统自动调用“供应商安全画像API”，返回近3年安全事件、监管处罚、媒体负面、兄弟公司评分，低于600分或存在重大事件记录的供应商自动拦截。5.3准入供应商在“供应链数字孪生平台”注册账号，上传证明材料，系统自动OCR+区块链时间戳固化，防止后期篡改。安评委在10个工作日内完成材料评审、远程渗透、视频答辩，出具《准入评审报告》。关键供应商须增加现场审核，覆盖机房、开发测试区、灾备中心、第三方组件仓库。5.4签约合同须包含“安全控制清单（SCL）”作为附件，SCL与评价指标一一映射，任何一项指标未达标即视为阶段性违约。对关键供应商增设“源代码托管+保险+违约金”三重保障：a)源代码：每季度增量更新，托管至公司指定escrow平台，触发条件包括破产、重大违规、服务中断≥8小时；b)保险：购买网络安全责任险，保额≥人民币2000万元，公司作为第一受益人；c)违约金：按合同总额10%-30%阶梯式设置，重大事件可叠加惩罚性赔偿。5.5持续监控采用“1+3”监控策略：1个平台：供应链数字孪生平台；3类数据：威胁情报、资产变更、行为审计。关键供应商每日自动巡检，一般供应商每周巡检。巡检项包括：a)公网暴露面：端口、服务、证书有效期、CDN配置；b)漏洞：CVE、CNVD、厂商公告、PoC公开情况；c)合规：证书吊销、监管通报、数据跨境新增；d)舆情：微博、知乎、Twitter、Reddit、黑客论坛。监控告警分级：级别定义响应时限责任人P0可被远程利用且导致数据泄露或业务中断30分钟供应商+公司安全值班P1可被本地利用或需用户交互2小时供应商P2理论漏洞或低危配置24小时供应商5.6年度复评每年6-8月集中开展，采用“材料更新+现场抽检+红蓝对抗”组合。复评分数低于原等级且差距≥50分，直接降档；连续两次复评降档，触发退出。5.7退出退出分为主动退出、被动退出、强制拉黑。a)主动退出：供应商提前90天书面申请，完成知识移交、数据销毁、审计报告；b)被动退出：合同到期未续签、业务下线；c)强制拉黑：发生重大事件且整改逾期、评分<600分、提供虚假材料、商业贿赂。拉黑期3年，期间禁止参与任何采购活动，已签署合同立即终止，公司向行业联盟、监管机构、保险公司同步黑名单。第六章数据管理6.1数据采集遵循“最小够用+用户知情+加密传输”原则，所有数据通过HTTPSTLS1.3、双向证书、SM2国密算法传输，存储采用AES256+Sharding+Salt，密钥托管在HSM。6.2数据共享对外提供脱敏API，字段包括供应商编码、等级、证书状态、近一年事件数，不含商业机密。内部共享采用零信任架构，动态授权有效期≤24小时。6.3数据保留评价原始数据保留7年，日志保留10年，到期自动转冷存储并加密哈希校验，防止篡改。第七章培训与意识7.1供应商侧关键供应商每年至少组织2次安全培训，内容涵盖SDL、数据跨境、应急演练、勒索软件防护，培训记录上传平台，完成率100%。7.2公司内部采购、业务、法务、审计线人员每年完成“供应链安全上岗证”考试，题库≥500道，合格线90分，未通过者暂停采购权限。第八章绩效考核与激励8.1安全绩效权重关键供应商：安全绩效占年度综合评价30%，与订单分配、预付款、续签直接挂钩；一般供应商：安全绩效占15%。8.2激励措施a)安全分≥950分且排名TOP5，颁发“卓越安全伙伴”奖杯，订单倾斜+10%；b)主动发现公司系统高危漏洞，经确认后按漏洞赏金双倍奖励；c)联合发表安全白皮书，公司承担50%费用并署名。8.3惩罚措施a)安全分<600分，立即冻结未付款项10%作为安全保证金；b)重大事件导致公司被监管处罚，供应商承担100%罚金+律师费；c)提供虚假证书，按合同总额20%支付违约金，并列入行业黑名单。第九章应急与事故处理9.1应急组织公司成立“供应链安全应急小组”，由CISO任组长，7×24小时值班，设P0级事件专线400-xxx-xxxx。9.2应急预案每年至少更新1次，包含场景：数据泄露、勒索软件、供应链投毒、证书失效、APT攻击、物流劫持。9.3演练流程阶段时间任务输出准备T0通知供应商、组建虚拟战情室、保存现场演练通知单检测T+30min流量镜像、日志封存、样本提取证据链报告遏制T+1h隔离受影响系统、下线CDN节点、关闭VPN账号遏制确认书根除T+4h清除恶意代码、重置密钥、补丁推送根除报告恢复T+8h业务重启、监控加强、用户通知恢复报告复盘T+3d召开跨部门复盘会，更新SOP复盘PPT+改进清单9.4事故分级与通报级别判定标准内部通报监管报送客户披露I级≥100万条个人信息或≥10GB重要数据泄露董事会+全员邮件24小时内72小时内II级业务中断≥4小时或金额≥500万元高管群+业务群3天内5天内III级局部服务异常或金额<500万元安全群无需无需第十章审计与问责10.1审计计划内审部每年6月发布年度审计计划，覆盖率≥30%，其中关键供应商100%覆盖。10.2审计内容模块审计要点证据来源评分真实性抽查20%指标原始记录、渗透测试复现平台日志、邮件、录屏整改闭环抽查P0/P1漏洞修复、合同条款兑现工单、截图、报告费用合理性安全保证金、违约金、保险购买财务凭证、保单10.3问责条款违规行为处罚对象处罚措施评分造假供应商拉黑3年+合同总额20%违约金瞒报事件供应商降级+冻结10%付款内