4.5 安全治理职能确立

在明确软件供应商引入过程中各个安全薄弱环节，并确定相应的安全管理流程后，需为每个环节设立相应的安全治理职能人员去持续跟踪安全风险、跟进供应商安全治理结果，不断推动、维护、优化软件供应商安全治理流程。

（1）在明确软件供应商安全治理总体方针阶段，企业业务产品负责人需梳理业务核心需求，与技术负责人明确各需求潜在的安全风险。同时，需要与软件采购人员沟通交流，共同选择供应商、引入供应商、参与供应商安全治理全流程。

（2）在明确软件供应商安全治理总体方针阶段，企业法务人员需对领域法规、政策进行完整的解读，梳理出重点与关注点，并将相关法规、政策讲解、宣贯至业务需求负责人、研发负责人、采购人员等，帮助各部门人员掌握法规、政策。

（3）在软件供应商资质评估阶段，采购人员有义务全面了解相关软件供应商，与各供应商积极沟通，同时梳理各供应商基础信息、能力资质等，并将供应商信息、供应商软件产品信息提供给研发负责人、需求负责人，与之共同梳理软件供应商资质评估表。引入供应商后需对该表进行封档保存。

（4）在软件供应商风险评估阶段，研发负责人、需求负责人需对供应商、供应商软件产品进行全面的安全检测与风险评估，同时试用软件产品，验证其产品是否能真实满足业务需求，评估供应商提供的软件物料清单的真实性、透明度，并通过安全检测工具，检测软件产品潜在的安全风险；考察供应商是否具备持续服务能力，检验其产品是否具备多场景集成能力，以及产品易用性、适用性、灵活性等；同时通过威胁模拟等方式验证供应商提供的解决方案、应急响应服务是否能高效、快速消除可能产生的风险。

（5）在供应商引入阶段，相关负责人需持续关注软件产品部署安全，并在测试环境应用软件产品，以检验产品安全性，防止影响正常业务；相关采购负责人、商务负责人需明确合同各项规定；引入后需定时、定阶段对供应商及其软件产品进行评估，确保供应商及其软件产品能够适应真实业务场景，建立企业内部供应商信息库，构建供应商黑白名单。

（6）在供应商合作及软件产品使用阶段，业务负责人与安全人员需对软件供应商进行实时风险监控，对任何可能发生安全风险的威胁渗入点，进行与供应商的及时反馈交流，监督供应商及时修复并更新版本。同时，安全及运维人员需时刻关注项目资产变化与项目风险走势，对新增风险及时向供应商提出修复更新需求，并做好安全应急响应措施，尽早定位威胁点、做好风险溯源工作，将风险影响缩小到可控范围。

企业还需为所有人员定期进行相关安全培训，如帮助开发人员了解编码过程中的安全设计原则、安全开发标准等；帮助所有企业工作人员明确企业安全策略，包括有关下载应用程序、使用工作/个人设备、分享数据等，以及帮助其了解如何识别网络钓鱼电子邮件、常见的凭据盗窃战术与当前的攻击方法（如可疑附件、虚假账单请求等）等，以提高其安全意识，养成良好的安全习惯。

此外，在上述环节，需根据不同人员角色，授予不同级别资源访问权限的身份和凭据。确立安全治理职能与人员的过程中应遵循“最小特权原则”和“零信任原则”。 ln8TZaXkxpk/eJ6N+cZmhR9jT5V2u2KxmbA4QTvdjIS2VC9mggvoKrG2D89cLZ20