3.1 安全管理机构

3.1.1 机构岗位设置

软件供应链安全管理中心负责制定软件供应链安全管理制度、规则管理制度，落实总体策略。

软件供应链安全管理过程中涉及的各部门对本部门工作中涉及的软件供应链安全相关过程负责。

软件供应链安全管理中心应包括委员会或领导小组、职能部门、关键职位等。

（1）委员会或领导小组：应成立软件供应链安全工作委员会或领导小组，明确小组负责人及内部岗位，建立并实施供应链安全考核及监督问责机制。

软件供应链安全管理委员会或领导小组的中心负责人应为党委成员之一。中心负责人应负责组织供应链安全工作的决策和议事协调，研究制定、指导实施组织供应链安全战略和有关重大方针政策，统筹协调组织供应链安全的重大事项和重要工作，建立组织供应链安全工作协调机制。

此外，委员会或领导小组应该由来自不同部门的成员组成，包括开发、运营和采购，分别在各部门内部明确其软件供应链安全职责及人员，并提供用于软件供应链安全管理的资金、资产和权限等可用资源，保障软件供应链安全管理工作顺利执行。

（2）职能部门：应建立负责软件供应链安全管理的职能部门。在开发、运营等各部门内任命软件供应链安全管理负责人，负责软件供应链安全管理的各个方面工作，如推进供应关系管理、软件供应链实体要素识别活动。明确规定每个人的责任，以确保问责制。

（3）关键职位：软件供应链安全管理机构需要明确关键岗位，负责具体软件供应链安全活动的执行，包括供应商评估和选择、供应链风险评估和缓解、安全开发实践、供应链安全交付、供应链安全运维等。关键岗位应配备专人，专人应与职能部门紧密合作，并直接向委员会或领导小组报告。

对于关键信息基础设施，应为每个关键信息基础设施明确一名软件供应链安全管理责任人，并将该人员纳入本组织信息化决策体系。

3.1.2 授权和批准

基于软件供应链安全管理机构架构，建立审批制度，对于机构内部部门授予审批权限，要点如下。

（1）明确授权：根据每个部门和角色的职责，对审查和批准项目、部门和批准人进行授权。这可以确保只有被授权的个人可以做出影响安全的决定。

（2）审批程序：为关键活动制定审批程序，如引入供应商、引入第三方组件、系统变更、重要操作、物理访问和系统访问，按照程序执行审批过程。对重要活动建立逐级审批制度。这可以确保适当的监督和风险管理。

（3）定期审查：定期审查需要审查和批准的项目。根据需要更新授权项目、审批部门和审批人的信息，以保持动态安全态势。

3.1.3 沟通与合作

软件供应链安全管理机构下辖不同部门间应定期展开沟通与合作，要点如下。

（1）定期召开会议：定期召开会议，集体讨论和解决安全问题，促进各类管理人员、组织内部机构和供应链安全管理部门间协作，共同解决问题。这可以营造合作环境，并确保所有利益相关者都了解当前的安全挑战和优先事项。

（2）外部合作：加强与外部合作伙伴的协作和沟通，如网络安全职能部门、供应商、行业专家和安全组织。这使得组织能够及时了解最新的安全趋势、最佳实践和威胁情报。

（3）联系名单维护：维护一份最新的外部组织联系名单，以便在事件发生期间或出于信息共享的目的进行有效沟通。

3.1.4 审计和检查

定期、全面的安全检查能够保障组织有效运行。

（1）定期的安全检查：根据组织的规模和复杂性，实施每日或每周的安全检查，检查项包括但不限于定期检查第三方组件风险，定期检查代码漏洞和潜在的恶意代码，定期检查供应商对于软件供应链安全标准的遵守情况，确保潜在的风险被发现并及时解决。

（2）全面的安全检查：安排全面的软件供应链安全检查，对于关键信息基础设施，定期开展专项“扫雷行动”，排查软件供应链安全风险相关的隐患和问题，并通过持续推动问题整改提升软件供应链保护能力。

（3）安全检查报告：为实施安全检查创建一个安全检查表格，汇总安全检查数据，并生成一份安全检查报告，将结果通报给利益相关者。

3.1.5 实践示例

一个大型的软件开发企业的软件供应链安全管理中心结构可以设计如下。

（1）领导小组：中心负责人为C级管理人员，如信息安全首席官（CISO）、首席技术官（CTO）和首席信息官（CIO）等。中心负责人的主要工作包括为软件供应链安全计划提供战略指导，监督分配资源并确保安全优先级与业务目标相一致。

领导小组成员由来自不同部门的领导组成，包括开发、运营和采购等部门，分别负责在各部门内部明确其软件供应链安全职责及人员，并提供用于软件供应链安全管理的资金、资产和权限等可用资源，保障软件供应链安全管理工作顺利执行。

（2）软件供应链安全管理中心：作为所有软件供应链安全相关事宜的中心联络点，由专门的软件供应链安全总监或经理领导，辅助协调和监督整个组织的所有供应链安全计划。

（3）职能部门：每个部门都专注于软件供应链安全的具体方面。职能部门职责如表3-1所示。

（4）关键职位：关键职位职责如表3-2所示。

（5）跨职能团队：跨职能团队由来自不同部门，如开发部、采购部和测试部等的代表组成。这些团队在安全倡议方面进行合作，并分享最佳实践，以全面应对供应链安全挑战（见表3-3）。

（6）外部合作伙伴：外部利益相关者，如网络安全机构、行业专家、供应商和安全组织。对于外部合作伙伴，需要与其建立伙伴关系，分享威胁情报、最佳实践和资源。

基于上述组织架构，对组织内部的机构、岗位、职责进行细化（见表3-4）。

该示例中，该大型软件开发企业建立了一个多层次的软件供应链安全组织，包括行政监督部门、专门的安全办公室、专注于特定安全方面的职能部门、跨职能的协作团队，以及与外部合作伙伴接触的部门。这种结构可以确保软件供应链安全的全面性，解决大型企业所面临的独特挑战。 xRhGiK8TLRRrqbpS359gg8v6g8O8+yCIhb3ckPSr+D+5e20aB2K8r9w15/qZuFeU