电子信息行业 供应链安全管理规范(征求意见稿).docx
电子信息行业供应链安全管理规范1范固本标准为下列组织规定了供应鞋安全管埋体系要求:a)以供应链安全为管理视角,实施、维护和改进供应St安全管理体系;b)需要证实其具有可信的供应链安全保障能力:G增强顾客满意.本标准适用于电子信息企业实能供应陡安全管理,井适用于不同规模和提供不同产品和服务的物然2规范性引用文件卜列文件时于本文件的应用是必不Ur少的.凡是注日期的可用文件,仅注日期的版本适用于本文件凡是不注H期的引用文件,其最新版木(包括所有的修改单)适用于本文件,GB/T190002016质显管理体系基础和术语GR1124420-2009供应依WI险管理指南GWT25103-2010供应鞋管埋业务参考模型GBZT40753-2021供应链安全管理体系实施指前IS028000-2022供应链安全管理体系规范3术语和定义31供应链从原材料采购一宜到通过运输将产晶或眼务提供绐发终顾客的一组过程和资源构成的网络,注:供应链可能包括卖主、生产商、物流商、外的中心、配送者、批发商和其他到最终用户的实体.32安全阻止了有意、未经授权而对供应琏造成损宙和破坏行为的状态.针对旨在对供应链造成损坏或破坏或由供应於损坏或破坏的故意行为的抵抗力.33安全管理组织通过有效地管理风险与漕在的威胁和甑响而开展的系统的、协调的活动和实践.34设施工厂、机器、财产、建筑、汽车、轮船、港口设施和地础设施或与之相关的计量、服务的系统.更好规避供应造风险,使组织的安全更具韧性,供应整流动过程B-电子值息行业供应94.2电子信息行业供应幄安全影响因索4.2.1 Sl织应识别影响供"hi,:':的因素,这些因素存在J-组织提供的产品或服务、内/外向管理活动和应遵守的合规要求中,当发生变更或者引入新的时,应对影响安全的因素进行JR新识别。电子伶忏亚.典型的影响国会如:芯片等高拢电子零部件的供应、软件组件供应、操作系统及工业妆件使用、高端生产/开发和检测设各/工具使用、高端生产精助设渔使用、生产性辅助材升及议施仗用以及善后技术支持等.1.2.2组织应对识别的供应链安全因素进行评价,将结果进行排序,并按照自身建立的评价准则确定近要安全因素。这叫重要安全因素应定期进行评价,井且均需进行风险评估。4 .2.3组织应将供应链安全因素的识别进行必要的滋透分析,如可行.包括供应商、供应商的供应商等.直至处于可接受状态为止.5 .2.4组织应保持以下内容的文件化信息:a)供应链安全因素及影响结果:b)确定供应链安全因素的评价准则:c)供应鞋安全重要因素:4.3 电子信息行业供应雒风险管理组织应根据供应随安全因素识别的结果,将风险管理纳入组织的产品/服分、内/外向业务过程和相关的职能中,同时明确风险管理揖任、职员和权限,并提供适宜资源。组织应设置C费部门按照风险评估准则实施并保持风险评估和处置过程.充分考虑供应钺风险。如织应建立采购业务流程,确保聚购过程规范,选定的供应方行合我购要求.组织应:a)博于自身业务特点、采购产品的至要性和可获得性,并考虑持续供应、地域分布等因索,识别其果购潜在风险,可采取联盟采购、一品多点等方式予以化好或降低风险:b)根据时事动态、自然环境事件等突发情况.分析影响程度,采取应对措施:c)根据供应方的经营和生产状况,及时应对意外步件的发生:d)要求供应方依据有关法律法规和标准要求,提供相符合的质量安全合格证明、溯源证明等.e)采购软件产M,应溯源其开发方,必要时进行安全测评:f)采购技术服务时,供应方应按照有关规定,实施人m身份安全认证程序,并提供技术能力评定、.服务人员联系方式等侑息:K)将需求预测等信息通知到供应方,沟通供应方及时将产品即将停产、改进等信息反馈给组织,避免产生不必要的风险,如织应他立采购产品信思库、供应商信息库,在新品导入、产品定价、招投标、产品订货、供应商下单等过程建立明确流程,并对实施过程进行监fb组织应与供应商建立良好的沟通过程,确保将果购风险降至组织可接受的程度.组织应对采购全程建立并保留文件化信息。4.4 .2.2制造执行管理组织应根据需求信息开展生产决策,决策应充分考虑产品提供的风险.组织应对内外部资源进行充分整合,将物资流、信息流和资金流打造成一体化资源i三行管理,纲织应对产品制造流程进行监控、跟踪和控制,确保产品及时交付的同时保证产品质量持续稳定满足要求.主要包括:a)设计开发:1)对设计开发进行策划,确定与市场、顾客需求相适宜的技术体制,尽累选择成效强高的体制,策划书须得到评审;测试、试脸.脸证所需要的设施、设备、工具的UJ获得性和保障性应予以考虑:必要时,应确定设计开发工具(包括软硬件),并确保其可执得性及保障性:2)必要时,应根据设计开发的不同阶段,制定质材料(元器件)大纲,以指导各级产品开展设计;3)方案设计过程应识别核心和关梃技术.制定妥善的解决措施.各级产品方案均须得到评审,必要时应邀请改客参加:4)各级产品的原材料应燎合技术、计划、,成本、国产化等方面要求开展选型,新选用物料应予以认证,物料清单应得到审核.从安全角度,选型、审核一般遵砧以下原则:核心技术和产品有设计能力的避免外包外购,优先选择货架或成熟产品、材料,尽必选择优选供方,外协和代工宜选择质t可施的合作方,核心物料和协作尽玳选择国产供方。b)生产制造:组织应:1)根据订单要求制定合理的生产计划,倘保订单要求的产品按时交付:2)根据需求计划制定物料需求和采陷、配发计划:如有物料停产、改型等情况,俎线开展设计变更:3)按生产计划及相关文件资料开展生产制造,按要求做好异常情况处理并保存机关记a)采取适当的监视测中手段对运输、配送过程进行定期监控和检食评价,并在有追溯要求的情况下实现过程追溯的要求:b)委托第三方物流的情况,按照4.6供应商管理的要求,确保交货的经济性、效率与安全性,建立第三方准入、运作管理、考核、评价的制度:C)组织应做好内部和外部的沟通,确保信息准确,必要时保用沟通记录。4.5.3,3仓储与库存管理组织应制定仓储与库存管理战略,以更为经济的方式及时交付产品.a)建立合理的仓储规划和冰存布局规划:b)使用适宜的工具对坤存数据进行定期分析,确保库存产品的有效祭号与合理利用;c)组织应保持必要程度的文件化信息,以确信过程能按策划的要求得到实施。45.5财务及金Ii管理组织应在供应Si管理中建立财务管理过程,控制财务风险,确保各个环节的货款和资金流动得当。祖织应开展以卜控制活动:a)预舞规划制定供应琏管理的预算计划以及如何支配和使用资金:b)成本控制-通过管埋成本来提岛整体利润.包括降低库存持有成本、运输成本等:c)资本调配-在不同的环节之间分配资金,确保好个环节都能正常运转,为公司带来利润;(1)供应商合同管理-确定供应商价格和付款条件,以使更好地控制和规划开支:e)库存管理控制库存水平,以避免过度储的.减少库存持有成本,同时确保供应埼的连续性:f)运怆成本控制-找到最佳的运输方式,以减少运怆成本:g)数据跟踪-追踪财务数据,分析供应链中的开支和收益,便于做出改进决策.必要时,纲织应制定财务管理目标,建立财务管理目标评价体系.4.6电子信息行业供应育管理4.6.1总则通常.在下列活动中,陶考虑供应链安全管理因素,并实施控制.a)供应商开发活动:b)供应商评价活动:C)供应雨选择活动;d)供应商提供产品和服务的控制活动:e)供应商绩效监视与再评价活动:f)关系维护活动,对于这些活动引发的任何必要的措施,组织应保用成文信息。4. 6.2控制类型和程度(或影响供应战活动)组织应确保供应商提供的产品和服芬不会对组织稳定地向顺客交付合格产品和服务的能力产生不利的影响。组织在供应商管理活动中应:a)在供应商开发活动中,组织应规定关区供应商开发深度'广度,在供应商技术、质量能力满足组织需求的基础上,应能够形成较为充分的竞争,尽可能的减少孤源与独子线供应商.关键、非美键定义参考1SO/TS22318供应就连续性指南,美忱:如果不趾准时、条M地,并且在本田发供产弘或债务.今学的吃史兔业务流在的供点商.&至一"供应中断,组织应制定计对供应链安全实施监测的控制程序,在供应商管理、生产/服务管理、物流管理、质业管理、数据安全、存储和梢售、法律合现、业务连续等方面时供应链安全绩效进行监利,安全而测需要考虑如下内容的规定,包括但不限于:a)确定对供应链安全监测的范围:b)确定定性和定累监测的内容;C)确定主动监测(如组织确定的安全活动)和被动监测(如紧急情况或安全事件的内容,确定安全目标是否实现:d)倘定安全监测的方法和技巧:e)识别并控制用于安全监测需要使用的安全设备,必要时,提供竹面程序说明如何进行安全测量,井宜采用恰当的方法校戕和维护安全设备;0需要使用的信息系统、软件或工具的要求:g)明确安全监测的时间、记录、和人员要求:h)由安全监测产生的纠正和预防行为要求,以及对监测信息的收集、分析、保存、公布等处置要求。4.9 电子信息行业供应使安全数据和信息化管理4.10 1供应链数据信息安全管理组织应对供应链相关数据信息进行分级管理.按照分级后的数据理要度采取相应的数据安全管理措施.组织在供应链运行过程中,产生的数据信息一股包含但不限于:产品或限务暴础信息、供方基础信总、初资选用信息、产品或眼务来购信息、技术质量信息、产品或服务用途、合同林、招标书、计划H等.其中可能包括产品和服务的用途、部分产品和服务的进度信息、技术指标、数量、用户、物资运却的时间、交货地点、运怆方式、押运、跖税、车次(航班)等垂要信息.可能涉及不同程度的商业核心数据信息。组织的产品或服务涉及国家或商业关键数据信息时,应控制首狼、用途等政学内容,不得向供应商或其他相关方提供必须的技术以外的敏感信息数据,如必须提供时,应按符合国家和组织规定的程序提供.组织应与相关方签11保密协议,在与相关方咨询、交流过程中,应果取降需、脱密措施,隐规产品和限务的实际用途,控制国家和商业秘密的知怂范阳,并不得涉及以下内容:a)组织研制和生产中涉密产品和服务的完整名称、型号、技术指标、用途、布同情况、试验场所、研发生产计划、交付计划和价格成本等:b)组织的生产能力、生产数技;c)组线关键、统感的采购集道与物流渠道。组织应对涉及供应链安全的数据信息进行权限管理,设置杳询、借阅权限,同时涉及国家或商业来购相关信息,应严格控制传递与知悉范阚,国家秘密禁止在互联网上留存或传递相关信息,商业秘密应按组织境定在互联网上传递并采取安全保护措施.4.9.2供应链信息化安全管理组织应建立并使用供应链信息化系统,在提高供应隧运行效能的同时,对供应链安全采取风险识别与监视测量.组织应调过伯恩化实现本标准所明确的全部或部分供应随安全因素.组织应参照GB/T36637信息安全技术ICT供应流安全风除管理指南,以及国家信息安全等级保护管理办法规定,开展供应健信息化建设。附录A.2(资料性附录)电子信息企业供应链安全关键指标组织应基于策略、程序、过程和处理的程度,识别源于内外部的供应鞋安全相关的关雄侑息,建立关键信息清单,确保:a)提供充足的资源。b)保持对与安全相关的漏洞和威胁的分析以及供应鞋安全风险评估,确定风险等级.C)针对电子产品研发安全、生产安全、储存安全、信息安全、资金安全等环节要建立相应的安全策略.降低安全漏洞,井保持和关记录d)
