ICS33.050

CCSM30

團(tuán)體標(biāo)準(zhǔn)

T/TAF131—2022

網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求采購(gòu)要求

Securityrequirementsfornetworkproductsupplychain—

Purchaserequirements

2022-09-15發(fā)布2022-09-15實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF131—2022

網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求采購(gòu)要求

1范圍

本文件提出了網(wǎng)絡(luò)產(chǎn)品在采購(gòu)環(huán)節(jié)的安全管理、組織機(jī)構(gòu)和人員、信息系統(tǒng)等不同等級(jí)的安全要求，

包括產(chǎn)品認(rèn)證和供應(yīng)商管理的安全要求。

本文件適用于網(wǎng)絡(luò)產(chǎn)品的提供者對(duì)供應(yīng)鏈采購(gòu)過(guò)程進(jìn)行安全管理，也可為網(wǎng)絡(luò)產(chǎn)品的采購(gòu)者和第三

方機(jī)構(gòu)對(duì)網(wǎng)絡(luò)產(chǎn)品采購(gòu)過(guò)程進(jìn)行安全性評(píng)價(jià)時(shí)提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

T/TAF073—2020網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

網(wǎng)絡(luò)network

是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、

傳輸、交換、處理的系統(tǒng)。

[來(lái)源：T/TAF073—2020，3.1]

3.2

網(wǎng)絡(luò)產(chǎn)品networkproduct

是指作為網(wǎng)絡(luò)組成部分以及維持網(wǎng)絡(luò)功能的設(shè)備、軟件等。

[來(lái)源：T/TAF073—2020，3.2]

3.3

供應(yīng)鏈supplychain

通過(guò)多個(gè)資源和過(guò)程聯(lián)系在一起的一系列組織，根據(jù)由服務(wù)協(xié)議或其他采購(gòu)協(xié)議建立連續(xù)的供應(yīng)關(guān)

系，每個(gè)組織充當(dāng)一個(gè)需求方、提供方或雙重角色。

[來(lái)源：T/TAF073—2020，3.3]

3.4

需求方acquirer

獲得或采購(gòu)產(chǎn)品或服務(wù)的利益相關(guān)者，也可簡(jiǎn)稱需方。在本文件中指網(wǎng)絡(luò)產(chǎn)品的提供者。

[來(lái)源：T/TAF073—2020，3.6，有修改]

3.5

供應(yīng)商supplier

與需求方簽訂協(xié)議以提供產(chǎn)品或服務(wù)的組織或個(gè)人。本文件中包括供應(yīng)鏈中提供軟件或含軟件的硬

件及相關(guān)服務(wù)的所有供應(yīng)商，具體包括：

——信息系統(tǒng)、系統(tǒng)部件或軟硬件產(chǎn)品的開(kāi)發(fā)者或生產(chǎn)者；

1

T/TAF131—2022

——貨架產(chǎn)品供應(yīng)商；

——產(chǎn)品經(jīng)銷商；

——提供運(yùn)維等服務(wù)的服務(wù)商等。

[來(lái)源：T/TAF073—2020，3.7，有修改]

3.6

采購(gòu)purchase

指需求方在一定的條件下從供應(yīng)市場(chǎng)獲取產(chǎn)品或服務(wù)作為組織資源，以保證需求方生產(chǎn)及經(jīng)營(yíng)活動(dòng)

正常開(kāi)展的一項(xiàng)經(jīng)營(yíng)活動(dòng)。

注：獲取的產(chǎn)品或服務(wù)以商業(yè)交換為基礎(chǔ)，不包括可以公開(kāi)獲取的資源，如開(kāi)源軟件等。

[來(lái)源：T/TAF073-2020，3.8，有修改]

3.7

關(guān)鍵部件criticalcomponent

存儲(chǔ)軟件、數(shù)據(jù)的介質(zhì)以及具備數(shù)據(jù)處理能力的部件。如芯片、存儲(chǔ)介質(zhì)、可編程控制器件等。

[來(lái)源：T/TAF073—2020，3.10]

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

CVSS：通用漏洞評(píng)分系統(tǒng)（CommonVulnerabilityScoringSystem）

RFP：需求建議書(shū)（RequestForProposal）

SLA：服務(wù)級(jí)別協(xié)議（ServiceLevelAgreement）

5采購(gòu)要求概述

網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求中的采購(gòu)要求包括供應(yīng)商安全管理組織及流程要求、供應(yīng)商引入管理要

求、供應(yīng)商日常管理要求。采購(gòu)要求管理框架見(jiàn)圖1。

圖1采購(gòu)要求管理框架

由于網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈在不同產(chǎn)品業(yè)務(wù)場(chǎng)景下，其采購(gòu)環(huán)節(jié)安全管理要求存在差異。本文件將采購(gòu)安

全要求分為三個(gè)等級(jí)，即一級(jí)、二級(jí)和三級(jí)，安全等級(jí)由低到高，安全要求逐級(jí)增強(qiáng)。一級(jí)提出了保障

供應(yīng)鏈采購(gòu)安全管理的基本要求。二級(jí)在基本要求的基礎(chǔ)上，增加了可審計(jì)、可追溯要求，以增強(qiáng)供應(yīng)

鏈采購(gòu)環(huán)節(jié)安全保障。三級(jí)在二級(jí)要求的基礎(chǔ)上提升了管理流程、規(guī)范等要求，并通過(guò)增加使用自動(dòng)化

工具和技術(shù)要求，對(duì)供應(yīng)鏈采購(gòu)環(huán)節(jié)提供較強(qiáng)的安全保障。每一等級(jí)定義了網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈在滿足相應(yīng)

2

T/TAF131—2022

等級(jí)要求的最小集合，滿足該等級(jí)標(biāo)識(shí)的所有項(xiàng)目才能標(biāo)識(shí)為該級(jí)別。采購(gòu)安全要求等級(jí)劃分見(jiàn)表1。

安全要求條目中的“ALL”表示一級(jí)、二級(jí)和三級(jí)均具有該要求，“L2，L3”表示二級(jí)和三級(jí)具有該

要求，“L3”表示三級(jí)具有該要求。

表1采購(gòu)安全要求等級(jí)劃分表

采購(gòu)安全要求一級(jí)二級(jí)三級(jí)

(a)

(b)

(c)

6供應(yīng)商安全管理組織及流程(d)

(e)

(f)

(g)

(a)

(b)

(c)

7.1安全協(xié)議要求

(d)

(e)

(f)—

(a)

(b)

(c)

(d)

(e)

(f)

7.2供應(yīng)商安全體系要求(g)

7供應(yīng)商引入管理

(h)—

(i)—

(j)—

(k)

(l)——

(m)——

(a)

7.3供應(yīng)商產(chǎn)品安全測(cè)試要求

(b)—

(a)

(b)

7.4生產(chǎn)外包管理要求(c)

(d)—

(e)——

8.1供應(yīng)商安全風(fēng)8.1.1

8供應(yīng)商日常管理

險(xiǎn)評(píng)估8.1.2

3

T/TAF131—2022

表1采購(gòu)安全要求等級(jí)劃分表（續(xù)）

采購(gòu)安全要求一級(jí)二級(jí)三級(jí)

(a)

(b)

(c)

8.1.3

(d)

8.1供應(yīng)商安全風(fēng)

(e)

險(xiǎn)評(píng)估

(f)

8.1.4

8供應(yīng)商日常管理8.1.5

8.1.6—

8.2供應(yīng)商安全漏洞預(yù)警與應(yīng)急響應(yīng)

8.3.1

8.3供應(yīng)商安全檢

8.3.2

查

8.3.3

8.4供應(yīng)商安全考8.4.1

核8.4.2

注1：“—”表示不具有該要求；“”表示具有該要求。

注2：表中采購(gòu)安全要求對(duì)應(yīng)本文件第6章至第8章。

6供應(yīng)商安全管理組織及流程

需方應(yīng)構(gòu)建采購(gòu)安全管理體系，以提高采購(gòu)安全。采購(gòu)安全管理體系應(yīng)包含以下要求：

a)(ALL)建立供應(yīng)商安全管理的組織，并定義供應(yīng)商安全管理組織職責(zé)和要求；

b)(ALL)建立供應(yīng)商安全管理的框架，明確供應(yīng)商網(wǎng)絡(luò)安全管理的目標(biāo)及方法；

c)(ALL)建立供應(yīng)商安全管理流程，包括供應(yīng)商引入/認(rèn)證、日常管理、退出等，并明確各階段的

供應(yīng)商管理要求；

d)(ALL)建立并維護(hù)合格供應(yīng)商目錄，并根據(jù)供應(yīng)情況及時(shí)更新目錄內(nèi)容；

e)(ALL)制定安全培訓(xùn)計(jì)劃，將供應(yīng)商安全管理培訓(xùn)納入組織的培訓(xùn)計(jì)劃中，并定期執(zhí)行；

f)(ALL)分析采購(gòu)的產(chǎn)品可能面臨的安全風(fēng)險(xiǎn)（如產(chǎn)品被篡改、敏感信息泄露等），并制定相應(yīng)

的應(yīng)對(duì)措施；

g)(ALL)建立采購(gòu)業(yè)務(wù)連續(xù)性程序，定期分析采購(gòu)的產(chǎn)品運(yùn)維過(guò)程中可能面臨的安全風(fēng)險(xiǎn)，并制

定相應(yīng)的應(yīng)對(duì)措施。

7供應(yīng)商引入管理

7.1安全協(xié)議要求

制定安全協(xié)議應(yīng)符合T/TAF073-20206.2.1(a)3)的要求。未簽署安全協(xié)議的供應(yīng)商，不宜進(jìn)入合格

供應(yīng)商目錄。

安全協(xié)議內(nèi)容要求如下：

4

T/TAF131—2022

a)(ALL)采購(gòu)涉及產(chǎn)品時(shí)，安全協(xié)議應(yīng)包含產(chǎn)品安全相關(guān)要求，例如，供應(yīng)商產(chǎn)品不得含有任何

形式的木馬、后門、蠕蟲(chóng)、病毒、惡意代碼、未知功能及未知權(quán)限的要求，以及數(shù)據(jù)安全的要

求等；

b)(ALL)采購(gòu)涉及服務(wù)時(shí)，安全協(xié)議應(yīng)包含服務(wù)安全相關(guān)要求，例如，服務(wù)過(guò)程中遵循當(dāng)?shù)叵嚓P(guān)

法律法規(guī)相關(guān)要求，基于合同、書(shū)面協(xié)議等開(kāi)展服務(wù)工作要求、服務(wù)過(guò)程中不得攻擊客戶網(wǎng)絡(luò)、

在客戶網(wǎng)絡(luò)植入后門要求，進(jìn)入客戶網(wǎng)絡(luò)需要獲得客戶授權(quán)要求等；

c)(ALL)安全協(xié)議應(yīng)包含體系安全相關(guān)要求，例如，供應(yīng)商應(yīng)建立安全保障體系，實(shí)施產(chǎn)品及/

或服務(wù)的安全管理并定期進(jìn)行安全自檢，供應(yīng)商應(yīng)對(duì)關(guān)鍵安全崗位員工進(jìn)行安全管理，供應(yīng)商

應(yīng)在研發(fā)、生產(chǎn)制造（芯片燒錄、軟件加載、組裝、測(cè)試等）、倉(cāng)儲(chǔ)、物流和采購(gòu)等環(huán)節(jié)建立

詳細(xì)的安全過(guò)程記錄，以確保過(guò)程的可追溯性等要求；

d)(ALL)安全協(xié)議應(yīng)包含應(yīng)急響應(yīng)的相關(guān)要求，例如漏洞響應(yīng)與修復(fù)SLA要求；

e)(ALL)安全協(xié)議應(yīng)包含供應(yīng)商違反安全協(xié)議時(shí)的處理方法，如違約賠償、合同終止、減少份額

等；

f)(L2，L3)安全協(xié)議應(yīng)包含供應(yīng)商安全審計(jì)要求。

7.2供應(yīng)商安全體系要求

供應(yīng)商的認(rèn)證或?qū)徍藨?yīng)符合T/TAF073-20206.2.1(a)2)的要求。供應(yīng)商認(rèn)證和審核標(biāo)準(zhǔn)包含以下要

求，供應(yīng)商：

a)(ALL)應(yīng)建立安全組織、政策、流程對(duì)產(chǎn)品進(jìn)行全生命周期安全管理；

b)(ALL)應(yīng)建立安全基線，對(duì)產(chǎn)品進(jìn)行安全需求分析、威脅分析、安全架構(gòu)設(shè)計(jì)、安全系統(tǒng)設(shè)計(jì)

等；

c)(ALL)應(yīng)建立安全測(cè)試規(guī)范，進(jìn)行安全測(cè)試設(shè)計(jì)，并對(duì)產(chǎn)品進(jìn)行安全測(cè)試，并對(duì)安全測(cè)試結(jié)果

進(jìn)行分析、評(píng)估，輸出安全測(cè)試報(bào)告；

d)(ALL)應(yīng)建立開(kāi)源及第三方軟件安全管理流程及規(guī)范，對(duì)使用的開(kāi)源及第三方組件的選型、使

用、維護(hù)進(jìn)行管理，確保組件來(lái)源安全可靠，并通過(guò)正式渠道獲取，且漏洞得到持續(xù)管控；

e)(ALL)應(yīng)發(fā)布的軟件及產(chǎn)品應(yīng)基于安全的密碼算法進(jìn)行完整性保護(hù)，防止被篡改；

f)(ALL)應(yīng)建立變更控制流程，對(duì)產(chǎn)品在需求方側(cè)的變更進(jìn)行控制；

g)(ALL)應(yīng)具備有效的漏洞響應(yīng)、披露和修復(fù)的機(jī)制及流程，并建立安全事件管理機(jī)制，在發(fā)現(xiàn)

產(chǎn)品的安全問(wèn)題時(shí)及時(shí)通知需方并提供解決方案；

h)(L2，L3)應(yīng)建立開(kāi)發(fā)過(guò)程中產(chǎn)品對(duì)內(nèi)發(fā)布和變更流程，對(duì)自研、外包開(kāi)發(fā)以及選用第三方的軟

件、硬件進(jìn)行統(tǒng)一管理；

i)(L2，L3)應(yīng)建立配置庫(kù)，對(duì)開(kāi)發(fā)/測(cè)試的過(guò)程文檔、源碼、開(kāi)發(fā)測(cè)試工具、軟件包、開(kāi)源及第

三方軟件等進(jìn)行受控管理；并且應(yīng)對(duì)軟件開(kāi)發(fā)配置庫(kù)進(jìn)行安全管理，避免信息泄露等安全風(fēng)險(xiǎn)；

j)(L2，L3)應(yīng)建立安全編碼規(guī)范，明確安全編碼和安全構(gòu)建要求；

k)(ALL)應(yīng)執(zhí)行安全編碼審計(jì)流程，識(shí)別編碼安全問(wèn)題，并給出消減計(jì)劃；

l)(L3)應(yīng)在軟件版本發(fā)布前，進(jìn)行惡意代碼、漏洞掃描，對(duì)二進(jìn)制文件與源代碼的一致性進(jìn)行驗(yàn)

證，確保所有的二進(jìn)制文件來(lái)源可靠；

m)(L3)應(yīng)建立開(kāi)源及第三方軟件合規(guī)管理流程。

7.3供應(yīng)商產(chǎn)品安全測(cè)試要求

需方應(yīng)制定供應(yīng)商產(chǎn)品選型、測(cè)試流程，對(duì)供應(yīng)商的產(chǎn)品進(jìn)行安全核驗(yàn)，未通過(guò)安全核驗(yàn)的供應(yīng)商

產(chǎn)品不得進(jìn)入合格供應(yīng)商產(chǎn)品目錄。

對(duì)供應(yīng)商的產(chǎn)品安全測(cè)試應(yīng)包括：

5

T/TAF131—2022

a)(ALL)需方應(yīng)讓供應(yīng)商按照RFP中的安全需求進(jìn)行測(cè)試并提供自行測(cè)試報(bào)告或第三方安全測(cè)

試報(bào)告；

b)(L2，L3)需方對(duì)供應(yīng)商交付的產(chǎn)品開(kāi)展動(dòng)態(tài)測(cè)試、惡意代碼檢測(cè)、漏洞檢測(cè)、滲透測(cè)試等安全

測(cè)試。

7.4生產(chǎn)外包管理要求

需方應(yīng)至少符合以下要求：

a)(ALL)評(píng)估外包可能引入的安全風(fēng)險(xiǎn)，并制定應(yīng)對(duì)措施；

b)(ALL)對(duì)外包進(jìn)行管理，明確允許或禁止外包的條件、外包方的選擇、外包數(shù)據(jù)的管理等；

c)(ALL)與外包方簽訂的協(xié)議中，外包方的安全責(zé)任且不得低于組織內(nèi)部相同或者類似部門的安

全要求；

d)(L2，L3)對(duì)外包生產(chǎn)過(guò)程進(jìn)行監(jiān)控，至少包括外包過(guò)程中安全規(guī)范的落實(shí)情況，人員的安全意

識(shí)等；

e)(L3)對(duì)多級(jí)外包制定明確的管理規(guī)范，明確允許或禁止的條件。

8供應(yīng)商日常管理

8.1供應(yīng)商安全風(fēng)險(xiǎn)評(píng)估

8.1.1(ALL)制定供應(yīng)商安全風(fēng)險(xiǎn)管理框架和安全風(fēng)險(xiǎn)管理計(jì)劃，對(duì)供應(yīng)商應(yīng)在一個(gè)評(píng)估周期內(nèi)至少

執(zhí)行一次安全風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)生安全事件的供應(yīng)商應(yīng)及時(shí)重新進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，安全風(fēng)險(xiǎn)評(píng)估應(yīng)在一

定時(shí)期內(nèi)覆蓋目錄中所有的供應(yīng)商。

8.1.2(ALL)框架應(yīng)定義風(fēng)險(xiǎn)容忍度，評(píng)估維度（過(guò)往歷史、合同遵從、安全影響和成熟度）和評(píng)估

方法及頻率。

8.1.3評(píng)估方法應(yīng)包含以下安全要求：

a)(ALL)供應(yīng)商安全組織、安全流程的建立及運(yùn)行情況；

b)(ALL)供應(yīng)商合同或協(xié)議中規(guī)定的安全要求的執(zhí)行情況，是否存在違反合同或協(xié)議的情況；

c)(ALL)供應(yīng)商是否出現(xiàn)安全事件及響應(yīng)處置情況；

d)(ALL)供應(yīng)商以往安全相關(guān)業(yè)績(jī)，包括人員政策、程序和安全實(shí)踐等；

e)(ALL)供應(yīng)商主動(dòng)管理安全的證據(jù)，例如持有或通過(guò)與產(chǎn)品或服務(wù)相關(guān)的安全認(rèn)證；

f)(ALL)評(píng)估供應(yīng)商產(chǎn)品供應(yīng)中斷、停止授權(quán)、拒絕提供產(chǎn)品升級(jí)或技術(shù)支持服務(wù)的風(fēng)險(xiǎn)，確保

供應(yīng)鏈彈性。

8.1.4(ALL)安全風(fēng)險(xiǎn)評(píng)估完成后應(yīng)對(duì)評(píng)估中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)制定處置方案，實(shí)施安全風(fēng)險(xiǎn)處置計(jì)劃，

并持續(xù)監(jiān)控風(fēng)險(xiǎn)，更新風(fēng)險(xiǎn)評(píng)估和處置策略。

8.1.5(ALL)在供應(yīng)商發(fā)生重大變化（如：供應(yīng)商所在地發(fā)生影響正常供應(yīng)的事件、供應(yīng)商資本背景

發(fā)生變更、供應(yīng)商資質(zhì)發(fā)生變化、供應(yīng)商產(chǎn)品架構(gòu)發(fā)生變化等），可能影響需方的供應(yīng)鏈安全時(shí)，應(yīng)重

新對(duì)供應(yīng)商進(jìn)行安全評(píng)估。

8.1.6(L2，L3)供應(yīng)商應(yīng)根據(jù)客戶需求提供其自身供應(yīng)鏈管理安全風(fēng)險(xiǎn)評(píng)估結(jié)果和改善措施，涉及到

商業(yè)秘密的除外。

8.2供應(yīng)商安全漏洞預(yù)警與應(yīng)急響應(yīng)

(ALL)需方應(yīng)建立供應(yīng)商產(chǎn)品漏洞預(yù)警與應(yīng)急響應(yīng)流程，對(duì)供應(yīng)商產(chǎn)品出現(xiàn)的漏洞進(jìn)行處理，推動(dòng)

供應(yīng)商按照合同或協(xié)議中的漏洞SLA要求采取行動(dòng)，確保漏洞及時(shí)處置。

6

T/TAF131—2022

8.3供應(yīng)商安全檢查

8.3.1(ALL)應(yīng)對(duì)供應(yīng)商安全組織、政策的執(zhí)行情況，產(chǎn)品的安全開(kāi)發(fā)/測(cè)試、安全服務(wù)、應(yīng)急響應(yīng)、

生產(chǎn)、倉(cāng)儲(chǔ)、物流以及安全人員管理等進(jìn)行檢查，以確保供應(yīng)商遵守簽訂的合同、協(xié)議、SLA或采購(gòu)

方規(guī)定的其它安全要求，保障供應(yīng)連續(xù)性。

8.3.2(ALL)根據(jù)組織特點(diǎn)、供應(yīng)環(huán)境變化以及供應(yīng)商日常安全表現(xiàn)、供應(yīng)商安全風(fēng)險(xiǎn)評(píng)估結(jié)果等對(duì)

供應(yīng)商開(kāi)展檢查。

8.3.3(ALL)檢查中發(fā)現(xiàn)問(wèn)題要予以記錄、跟蹤，并推動(dòng)供應(yīng)商進(jìn)行整改。

8.4供應(yīng)商安全考核

8.4.1(ALL)應(yīng)將供應(yīng)商的日常安全表現(xiàn)，包括安全組織、安全流程的建立及運(yùn)作情況、安全事件、

安全漏洞、應(yīng)急響應(yīng)、日常檢查的結(jié)果等納入考核。

8.4.2(ALL)應(yīng)對(duì)供應(yīng)商在一個(gè)評(píng)估周期內(nèi)進(jìn)行一次安全考核，對(duì)于考核不合格的供應(yīng)商應(yīng)推動(dòng)供應(yīng)

商進(jìn)行整改，如果整改后還不合格的供應(yīng)商應(yīng)調(diào)整出合格供應(yīng)商目錄，對(duì)于考核嚴(yán)重不合格的供應(yīng)商可

直接調(diào)整出合格供應(yīng)商目錄。

7

T/TAF131—2022

參考文獻(xiàn)

[1]GB/T24420—2009供應(yīng)鏈風(fēng)險(xiǎn)管理

[2]GB/T32921—2016信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則

[3]GB/T36637—2018信息安全技術(shù)ICT