组织是否明确供应链相关部门，部门内部的层级关系，部门职责内容； （若有涉及多个部门，是否明确部门间的协作机制）

是否明确采购岗位、仓储岗位、信息安全岗位、质量控制岗位等具体的岗位职责

是否明确供应链决策团队的成员构成、决策权限和决策流程

单位对供应链安全资源的年度资金预算、资金分配明细、资金使用情况是否有监督机制

是否明确供应链管理材料区的面积、布局、存储设施，是否有设施配备清单；

当前自有人员数量（集团内部参保人员）、技能水平、工作经验情况；

当前外部人员的来源、合作的模式以及相应的管理方式

是否建立对供应商引入的标准； 是否明确对供应商的评估流程； 是否明确与供应商签订合作协议条款中关于供应链安全的内容，包括数据管理等

是否明确要求供应商按照管理规范使用本单位内部资源；是否明确供应商违规使用本单位内部资源情况时相应的处理办法

是否建立持续评估供应商安全能力的指标体系； 是否明确了对供应商安全能力评估的开展频率；

是否明确供应商退出条件、退出流程； 是否具有针对供应商退出后的安全风险应对方案；

是否对单位内部的“一般业务场景”有清晰的界定； 对“一般业务场景”的安全管理流程和安全防护措施现状描述；

是否对单位内部的“重要业务场景”有清晰的界定； 对“重要业务场景”的安全管理流程和安全防护措施现状描述，安全防护措施级别应不低于“一般业务场景”；

是否对单位内部的“核心业务场景”有清晰的界定； 对“核心业务场景”的安全管理流程和安全防护措施现状描述，安全防护措施级别应不低于“核心业务场景”；

单位对供应链风险（断供风险、数据泄露风险等）的防护技术应用，包括现有的技术产品等。

单位是否有监测供应链安全威胁的手段或预警机制；

单位是否有应对供应链安全事故的安全策略，或保证业务连续性的计划等相关措施，包括数据备份恢复等。

供应链安全防护能力上，现有的整体的安全策略及更新机制是什么

单位是否有针对供应链相关活动的监督情况

是否在资产属性变化或增减时，如增加或减少开放端口时，修改资产清单相应内容，并保留修订记录

是否具备资产安全管理制度，制度中是否要求规定资产责任人或部门，对资产的授权、使用是否有规范的管理行为要求

相关制度中是否要求对资产进行分类和标识； 是否明确标识重要资产；

是否依据资产安全管理制度，记录各类资产的访问和操作记录，包括访问者、访问时间和操作内容；外部人员使用是否经过流程化授权审批

对外出口IP

域名

公众号

可访问的URL（对公众提供服务的站点）

互联网可访问的API接口

托管第三方的互联网资产

是否对供应商进行分类，分类的依据；是否对供应商进行分级，分级的依据

是否明确对供应商不良行为判定指标，对该类供应商处理的办法

是否存在供应商目录； 是否存在该目录更新机制；

是否明确对供应商资质要求，对供应商资质要求

服务合同是否限制供应商服务过程中的权限； 是否对供应商提出相关保密要求；

是否具备供应商选择策略，明确供应商选择的要求

选择策略中是否要求供应商提供技术培训和服务承诺

相关供应商选择策略中，是否明确关键业务应用供应商选择

安全要求内容包括：提供产品检测报告，安全风险评估报告

是否明确要求供应商应对供应活动具备相应管理措施

是否存在相关制度明确对软件授权证书、专利、软件著作权的管理要求； 软件授权证书、专利、软件著作权管理是否登记证书名称、获取时间、内容、有效期；

许可协议中是否明确许可范围、双方信息、许可期限、权利与义务、保密条款；

是否具备对现有知识产权风险的应对方案，方案中是否明确风险评估、资源保障、预警机制、应急处置流程

是否要求外部人员访问受控区域前提供授权申请；外部人员访问受控区域的授权同意书或授权审批记录

人员管理制度中是否明确外部人员访问受控区域的授权或审批流程

人员管理制度中是否明确外部人员的权限，包括活动范围、注意事项

人员管理制度中是否要求外部人员访问过程中应当由专人陪同或监督；外部人员访问登记中是否附有专人陪同签名或采用监控日志方式监督；外部人员访问是否登记并备案，内容包括访问者、访问时间、访问内容

人员管理制度中是否明确临时用户的设置及用户行为审计的要求；受控区域的临时用户涉及及审计功能是否依据相关制度进行配置

人员管理制度中是否明确外部人员访问的记录要求；外部人员访问的详细记录，包括访问者、访问时间、访问内容、访问期间的操作行为

人员管理制度中是否明确允许外部人员访问的区域、系统、设备、信息等内容的规定

人员背景调查情况

人员能力

资质证书

技能培训情况

制度的管理情况和执行情况

供应协议、合同是否明确供需双方的相关责任、供应活动的基本流程

是否对数据范围和用途的限制规定；

是否对供应商提出的数据安全要求；

是否在合同中对供应商作出的约束；

是否定期对授权出的数据的审计和评估结果；

是否有数据泄露的应急计划"

是否依据供应协议、合同对供应活动流程进行管理； 是否包括对供应商使用和收集内部相关信息进行明确授权、对交付的产品按约定进行验收。

内部管理是否有规范化流程管理制度，内部管理平台是否依据相关制度进行流程化审批管理

是否建立第三方开源软件台账，台账内容是否包括软件名称、软件版本、软件最新版本

是否具备第三方开源软件安全漏洞处置流程； 是否建立第三方开源软件安全漏洞跟踪机制；

第三方开源软件许可证跟踪机制

供应方分布情况、每个供应商针对自身单位的哪方面需求、供应商同自身的合作模式管理情况

研发环节：涉及的开发团队、开发流程、代码编写与测试活动描述

采购环节：供应商筛选、采购谈判、合同签订活动描述

生产环节：生产流程、质量检测、包装出货活动描述

物流环节：运输方式选择、仓储管理、配送跟踪活动描述

销售环节：市场推广、客户服务、售后支持活动描述

提供引用的开源组件、商业组件详情信息的概括描述

提供单位内软件产品的已知漏洞类型、漏洞严重程度、漏洞发现时间

中断原因分析（如自然灾害、供应商破产等）、降级影响评估

高危软件漏洞修复计划，软件漏洞监控机制

潜在软件后门排查方案

供应链劫持防范措施规划

篡改发生场景、篡改内容类型、防范手段

假冒伪劣产品的常见形式、识别方法、处理流程

信息泄露渠道、涉及的敏感信息类型、应急响应预案

单位是否明确“核心业务软件资产“”关键技术软件资产“”重要数据处理软件资产“清单，对资产清单的防护措施是什么。

详细招标采购的流程和规范，包括招标公告发布、投标文件评审等环节。

招标采购过程中的监督和控制机制。

自研软件：

外包开发：

商采软件：

办公软件：

明确供应商安全能力评审的指标和标准。

提供供应商安全能力评审过程中的数据收集和分析方法。

新采购产品功能验证使用管理

新采购产品功能验证的测试计划和方法。

新采购产品功能验证过程中的问题反馈和处理流程。

提供定制研发软件开发过程评审与验收管理标准

提供供应中断替代方案策略

描述下供应中断的风险评估和预警机制。

提供软件安全检测和风险评估的开展记录

明确软件安全检测的方法和工具。

提供风险评估的模型和指标体系。

运维团队：

运维内容：

运维范围：

运维流程：

提供台账的记录内容和格式规范规定材料。

软件资产的详细登记信息，包括名称、版本、许可证信息等。

明确资产盘点的周期和方法。

是否明确安全配置的标准和规范。

是否明确安全配置的实施流程和责任人员。

是否明确配置的频率和方法。

提供系统投入运行前的测试和评估流程。

是否明确系统变更的申请、审批和实施流程。

是否明确网络系统接入的安全控制和授权机制。

是否明确重要操作的定义和审批要求。

是否明确重要资源访问的权限设置和审计机制。

是否明确审批记录的保存方式和完整性。

是否明确分析记录对审批过程的追溯和监督作用。

是否明确审批流程管理文档的详细程度和更新情况。

是否明确权限管理人员的职责和权限范围。

是否明确授权和审批的项目、审批部门和审批人等信息的更新情况

是否明确软件授权期限的监控方式和提醒机制。

是否明确对即将到期授权的处理流程。

是否明确维保合同的管理和跟踪方式。

提供采用的风险识别工具和技术介绍资料。

评估风险识别的全面性和准确性。

针对不同风险等级的处理措施和应急预案。

提供业务连续性和灾难恢复计划的详细内容。

描述下演练的频率、效果和改进措施。

检测软件外联网络地址、域名数据采用的检测技术和工具。

提供分析报告的内容和结论。

涵盖的数据全生命周期、数据类型和存储位置。

明确数据安全风险评估的方法和指标。

信息系统合规性的定期，涵盖网络设备、主机、应用系统和数据库的安全配置、用户设置及备份情况

安全检查方法及检查表的形成与使用情况

对日志信息和系统漏洞的定期及发现安全隐患的情况

内部人员或上级单位进行的全面安全，包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等

安全审和安全制度的制定及规范情况，以及定期按照程序开展活动的情况

严格按照安全表格实施、汇总数据并形成报告的情况

安全结果非授权散布及对授权人员报结果的措施制定情况

提供废止流程或流程规划

描述下软件废止的触发条件和决策机制。

提供废止流程的各个步骤和责任分配。

提供明确数据迁移的目标和方法。

提供数据备份的策略和存储位置。

提供硬件资源、网络资源等的回收方式。

提供采用的数据销毁方法和工具介绍。

提供软件访问权限的撤销流程。

提供与相关员工签订的保密协议内容。

描述对废止后软件和数据的监测手段。

审计日志的保存和分析机制。

明确数据是否完全销毁、软件是否无法访问等。

描述并介绍采用的废止技术和工具。

结果的评估标准和合格判定条件。

针对不合格的结果，制定的整改措施。

提供现有的介质归档和查询记录

提供并说明介质分类和标识管理情况

提供单位对介质的安全管理规定

提供介质安全销毁记录

描述下信息系统相关设备、线路管理维护情况

提供软硬件设备的选型管理记录

提供信息处理设备的操作记录

描述下终端设备的操作和使用情况

是否明确使用者在终端上的用户权限设置、安装软件、数据存储和加密的要求；

是否对终端物资使用情况进行记录

设备日志管理情况

是否开展了软件成分分析工作，提供软件成分分析报告

是否开展了源代码安全漏洞分析工作，提供源代码安全漏洞分析报告

是否开展了动态应用安全检测工作，提供动态应用安全检测报告

是否开展了容器镜像安全检测工作，提供容器镜像安全检测报告

是否开展了供应链安全风险评估工作，提供供应链安全风险评估报告

是否要求供应商开展供应商安全能力评价，提供下一级供应商安全能力评价结果报告

若有其他安全风险评估报告，请提供

描述不同等级安全事件的报告、处置和响应流程，或提供相应材料

报告渠道：安全事件的报告途径和接收部门。

报告内容：明确报告中应包含的关键信息。

处置步骤：详细针对不同等级事件的处置操作。

处置责任：明确各部门在处置过程中的职责。

响应措施：采取的具体响应措施，如隔离、修复等。

提供安全事件的现场处理、报告和后期恢复措施

提供现场处理流程、处理记录、事件报告

是否维护外部相关方的联系列表，包括行业组织、监管机构、公安机关、电信单位、供应商、专家、安全单位等； 是否明确与外部相关方的合作沟通机制，包括沟通形式、沟通频率；

是否明确内部如管理人员、组织内部机构、信息安全智能部门与外部相关方沟通的角色和职责；是否维护内部相关人员和部门的联系列表

信息安全协调会议的召开周期。

参会的部门和人员范围。

会议议程的制定流程和重点议题。

是否明确专家参与具体项目的方式和职责。

是否明确专家提供咨询服务的流程。

资金

场地

人力

软件成分分析

源代码

二进制代码安全漏洞分析

软件供应链安全风险评估（6.3）

软件资产管理

软件供应链安全风险识别处置

监督检查等

明确不同等级安全事件的报告、处置、响应的流程和机制

规定安全事件的现场处理、事件报告和后期恢复等要求

安全开发

交付部署和验收

故障处理

维护升级等

人员权限、能力、资质、背景、技能培训等

重要岗位人员应明确并开展背景审查工作的要求，例如：

供应商资质审核

供应商分类分级

供应商不良行为处理等

软件授权证书

专利

软件著作权

许可协议等

软件资产识别分析

软件漏洞挖掘

后门监测

访问控制管理

完整性保护等

软件供应链恢复

未知安全漏洞分析

软件持续供应能力分析等

背景

资质

能力

能否持续安全提供产品或服务等

软件供应链安全

网络空间安全

具备相应网络空间安全能力的评标人员

安全图谱的等级

可追溯层级等

安全防护能力

保护个人信息和重要数据不被泄露的能力

优先选择离线永久激活模式

其次是完全在国内线上永久激活

再次是完全在国内周期性线上激活、国外线上激活（永久或周期性）

安全的开发环境

工具和设备的安全管理和准入控制等

风险监测识别

漏洞修复

完整性保护

安全测试等

政治

外交

贸易

自然灾害

公共安全事件等

软件资产识别

源代码和二进制代码安全漏洞分析

软件成分分析等

源代码安全漏洞分析

二进制代码安全漏洞分析

容器镜像安全分析

软件成分分析

软件供应链安全风险评估（6.3）等

存在已公开漏洞未修复的，供方应及时修复或采取相应缓解措施，漏洞处置报告

中文版运行维护

二次开发

软件使用的场景和条件

权限和授权机制

软件使用说明书

技术分析报告等

软件停用和卸载

软件供应链安全图谱归档

信任关系清除

数据备份、迁移和销毁