S0SL0團(tuán) 體 標(biāo) 準(zhǔn)4關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全要求ne7發(fā)布 9實(shí)施中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟 發(fā)布中 國 標(biāo) 準(zhǔn) 出 版 社 出版4目 次前言 Ⅲ引言 Ⅳ范圍 1規(guī)范性引用文件 1術(shù)語和定義 1供應(yīng)鏈安全總體要求供應(yīng)鏈安全風(fēng)險分析供應(yīng)鏈安全管控措施供應(yīng)鏈安全準(zhǔn)入策略

………………2………………2………………2………………2外部組件供應(yīng)鏈安全要求 2供應(yīng)鏈安全風(fēng)險識別 3供應(yīng)方風(fēng)險 3人員風(fēng)險產(chǎn)品風(fēng)險服務(wù)風(fēng)險

……………3……………3……………5供應(yīng)鏈安全管控要求 6審查管理要求安全管理要求技術(shù)管控要求人員管理要求

………………………6………………………6………………………7………………………7供應(yīng)鏈安全準(zhǔn)入要求 8供應(yīng)方準(zhǔn)入要求 8人員準(zhǔn)入要求產(chǎn)品準(zhǔn)入要求服務(wù)準(zhǔn)入要求

………………………8………………………9………………………9外部組件供應(yīng)鏈安全管理 0開源組件安全管理 0第三方組件安全管理 0集成和分發(fā)的安全管理 0可追溯性管理 1參考文獻(xiàn) 2Ⅰ前 言本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟提出。本文件由中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟網(wǎng)絡(luò)安全標(biāo)準(zhǔn)專業(yè)委員會技術(shù)歸口。本文件起草單位中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟中國工商銀行股份有限公司國網(wǎng)思極網(wǎng)安科技北京有限公司中國電子科技集團(tuán)公司第十五研究所信息產(chǎn)業(yè)信息安全測評中心中國移動通信集團(tuán)有限公司中廣核數(shù)字科技有限公司中國人民財產(chǎn)保險股份有限公司中國電力科學(xué)研究院有限公司國家工業(yè)信息安全發(fā)展研究中心中國電信集團(tuán)有限公司教育部教育管理信息中心、中國民生銀行股份有限公司北京北信源軟件股份有限公司中國信息安全測評中心國家廣播電視總局監(jiān)管中心工信部教育考試中心中郵信息科技北京有限公司大唐科技研究總院水利部信息中心深圳市網(wǎng)安計(jì)算機(jī)安全檢測技術(shù)有限公司四川北斗弘鵬科技有限公司北京安普諾信息技術(shù)有限公司中科信息安全共性技術(shù)國家工程研究中心有限公司銀行卡檢測中心北京銀聯(lián)金卡科技有限公司杭州默安科技有限公司杭州中爾網(wǎng)絡(luò)科技有限公司北京比瓴科技有限公司深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司湖南浩基信息技術(shù)有限公司南京眾智維信息科技有限公司成都久信信息技術(shù)股份有限公司。本文件主要起草人蘇建明郭啟全焦彬逯瑤馬強(qiáng)李紅霞郭智武林皓楊華張松徐建、任磊嚴(yán)宗肖紅陽馬雅靜曹禹劉陽劉冬胡建勛伊鵬達(dá)劉云張然吳子堅(jiān)陳軍陳大北馬禹昇、鄭國忠王雪珊李淼白云波張普含李天磊詹丹丹裴帥劉健馮莉李炎譚志彬蘇勇張仕文、曹欣然盛湘新沈智鑌陳真玄邱德隆王來蒙王文軍張濤寧戈李云任航付杰聶萬泉孟瑾、沈錫鏞鄒遠(yuǎn)輝曾帥劉遙譚宇辰馮寅軒菅志剛車洵。Ⅲ4引 言目前關(guān)鍵信息基礎(chǔ)設(shè)施已成為國家安全經(jīng)濟(jì)穩(wěn)定運(yùn)行和社會公共服務(wù)的重要基石其供應(yīng)鏈安全性問題日益凸顯直接關(guān)系到核心數(shù)據(jù)和整個系統(tǒng)安全。近年來供應(yīng)鏈已成為黑客攻擊的關(guān)鍵環(huán)節(jié)任何供應(yīng)鏈環(huán)節(jié)的疏漏都可能對整體安全構(gòu)成嚴(yán)重威脅。網(wǎng)絡(luò)攻擊者常利用對目標(biāo)漏洞的深入了解輔以先進(jìn)的技術(shù)和工具對供應(yīng)鏈發(fā)起攻擊特別是對開源軟件漏洞的利用已成為攻擊者滲透網(wǎng)絡(luò)系統(tǒng)的重要途徑。隨著開源軟件的廣泛應(yīng)用軟件供應(yīng)鏈攻擊的成本和難度大幅降低而攻擊范圍卻在不斷擴(kuò)大檢測難度日益增加攻擊事件的數(shù)量也呈持續(xù)上升趨勢。鑒于此關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的重要性不言而喻它不僅關(guān)乎個體的數(shù)據(jù)安全更涉及國家安全經(jīng)濟(jì)安全和社會公共服務(wù)的穩(wěn)定運(yùn)行。為了全面提升關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全能力有效防范和控制供應(yīng)鏈引發(fā)的重大網(wǎng)絡(luò)安全威脅亟需制定一套科學(xué)系統(tǒng)實(shí)用的供應(yīng)鏈安全能力規(guī)范。本文件的制定旨在規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全管理為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等提供明確的指導(dǎo)和要求。通過健全完善供應(yīng)鏈安全管理制度落實(shí)供應(yīng)鏈安全管控措施加強(qiáng)防范供應(yīng)鏈風(fēng)險能力構(gòu)建一個更加安全可靠高效的關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈體系為國家網(wǎng)絡(luò)安全保駕護(hù)航。Ⅳ4關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全要求范圍本文件規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全總體要求風(fēng)險識別管控要求準(zhǔn)入要求和外部組件的供應(yīng)鏈安全管理要求。本文件適用于指導(dǎo)運(yùn)營者對關(guān)鍵信息基礎(chǔ)設(shè)施開展供應(yīng)鏈安全防護(hù)也為網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)制定供應(yīng)鏈安全解決方案提供參考。規(guī)范性引用文件本文件沒有規(guī)范性引用文件。術(shù)語和定義下列術(shù)語和定義適用于本文件。

關(guān)鍵信息基礎(chǔ)設(shè)施I公共通信和信息服務(wù)能源交通水利金融公共服務(wù)電子政務(wù)國防科技工業(yè)等重要行業(yè)和領(lǐng)域以及其他一旦遭到破壞喪失功能或者數(shù)據(jù)泄露可能嚴(yán)重危害國家安全國計(jì)民生公共利益的重要網(wǎng)絡(luò)設(shè)施信息系統(tǒng)等。來源]

供應(yīng)鏈n將多個資源和過程聯(lián)系在一起并根據(jù)服務(wù)協(xié)議或其他采購協(xié)議建立連續(xù)供應(yīng)關(guān)系的組織系列。注其中每一組織充當(dāng)需求方供應(yīng)方或雙重角色。來源]需求方r從其他組織獲取產(chǎn)品和服務(wù)的組織。注獲取可能涉及或不涉及資金交換。注重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者通常是從供應(yīng)方獲取產(chǎn)品和服務(wù)的需求方。來源有修改]供應(yīng)方r提供產(chǎn)品和服務(wù)的組織。注供應(yīng)方也可稱供應(yīng)商。注供應(yīng)方可以是內(nèi)部的或外部的組織。注供應(yīng)方包括產(chǎn)品供應(yīng)商服務(wù)提供商系統(tǒng)集成商生產(chǎn)商銷售商代理商等。來源有修改]14供應(yīng)鏈安全風(fēng)險k供應(yīng)鏈安全威脅利用供應(yīng)鏈管理中存在的脆弱性導(dǎo)致供應(yīng)鏈安全事件的可能性及其由此對組織造成的影響。來源]

構(gòu)件t構(gòu)成產(chǎn)品或信息系統(tǒng)的部分可以是硬件或軟件且可以進(jìn)一步劃分為其他部件。注構(gòu)件也可稱部件。注可以是成熟的可重用的部件。注術(shù)語模塊部件單元常?？梢曰Q使用或在不同的方法中定義作為另一個的子元素取決于上下文。這些術(shù)語的關(guān)系尚未標(biāo)準(zhǔn)化。注在軟件工程中構(gòu)件包含使用的外部組件。來源有修改]外部組件t由供應(yīng)方以外的組織或人員開發(fā)的程序代碼文檔或數(shù)據(jù)通常由二進(jìn)制程序文件或者源代碼程序文件構(gòu)成。注:外部組件包括軟件中使用的開源組件和第三方組件。來源]供應(yīng)鏈安全總體要求供應(yīng)鏈安全風(fēng)險分析實(shí)施供應(yīng)鏈安全管理識別供應(yīng)方使用人員以及提供的產(chǎn)品服務(wù)中存在的安全風(fēng)險從需求方視角對供應(yīng)方的選擇與經(jīng)營能力人員的選用與退出等多方面風(fēng)險進(jìn)行了識別并重點(diǎn)對產(chǎn)品的研發(fā)、供應(yīng)和運(yùn)維環(huán)節(jié)以及服務(wù)裝備和方式等多個層面進(jìn)行了詳細(xì)分析為安全管控的要求提供依據(jù)。供應(yīng)鏈安全管控措施從四個方面開展供應(yīng)鏈的安全管控應(yīng)對安全風(fēng)險。一是對實(shí)施審查過程管理的要求確保供應(yīng)鏈安全管理各環(huán)節(jié)都受到嚴(yán)格的審查和監(jiān)管二是對安全管理建設(shè)層面提出要求確保管理工作的高效、有序開展為各環(huán)節(jié)提供必要的支持和保障三是對使用技術(shù)管控手段提出安全要求及時發(fā)現(xiàn)并處置潛在安全問題四是從人員的安全管理層面提出要求降低人員使用風(fēng)險確保具備必要的安全意識和技能。供應(yīng)鏈安全準(zhǔn)入策略安全準(zhǔn)入作為供應(yīng)鏈安全管理全生命周期