书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ３６６３７ — ２０１８ 信息安全技术 犐犆犜 供应链安全风险管理指南 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犌狌犻犱犲犾犻狀犲狊犳狅狉狋犺犲犻狀犳狅狉犿犪狋犻狅狀犪狀犱犮狅犿犿狌狀犻犮犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔狊狌狆狆犾狔犮犺犪犻狀狉犻狊犽犿犪狀犪犵犲犿犲狀狋 ２０１８  １０  １０ 发布 ２０１９  ０５  ０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 概述 ２ ……………………………………………………………………………………………………… ６ 　 ＩＣＴ 供应链安全风险管理过程 ３ ………………………………………………………………………… 　 ６．１ 　 概述 ３ ………………………………………………………………………………………………… 　 ６．２ 　 背景分析 ３ …………………………………………………………………………………………… 　 ６．３ 　 风险评估 ４ …………………………………………………………………………………………… 　 ６．４ 　 风险处置 ７ …………………………………………………………………………………………… 　 ６．５ 　 风险监督和检查 ７ …………………………………………………………………………………… 　 ６．６ 　 风险沟通和记录 ８ …………………………………………………………………………………… ７ 　 ＩＣＴ 供应链安全风险控制措施 ８ ………………………………………………………………………… 　 ７．１ 　 概述 ８ ………………………………………………………………………………………………… 　 ７．２ 　 技术安全措施 ８ ……………………………………………………………………………………… 　 ７．３ 　 管理安全措施 １０ ……………………………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 ＩＣＴ 供应链概述 １６ ………………………………………………………………… 附录 Ｂ （ 资料性附录 ） 　 ＩＣＴ 供应链安全威胁 １８ …………………………………………………………… 附录 Ｃ （ 资料性附录 ） 　 ＩＣＴ 供应链安全脆弱性 ２１ ………………………………………………………… 参考文献 ２５ …………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ３６６３７ — ２０１８ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 中国电子技术标准化研究院 、 中国科学院软件研究所 、 联想 （ 北京 ） 有限公司 、 华为技术有限公司 、 浙江蚂蚁小微金融服务集团股份有限公司 、 阿里巴巴 （ 北京 ） 软件服务有限公司 、 北京京东叁佰陆拾度电子商务有限公司 、 中国信息通信研究院 、 微软 （ 中国 ） 有限公司 、 浪潮电子信息产业股份有限公司 、 国家信息技术安全研究中心 、 英特尔 （ 中国 ） 有限公司 、 北京赛西科技发展有限责任公司 、 阿里云计算有限公司 、 中国信息安全认证中心 、 中国科学院信息工程研究所信息安全国家重点实验室 、 北京工业大学 、 北京邮电大学 、 北京中电普华信息技术有限公司 。 本标准主要起草人 ： 刘贤刚 、 胡影 、 卿斯汉 、 叶润国 、 孙彦 、 李汝鑫 、 薛勇波 、 范科峰 、 王昕 、 白晓媛 、 黄少青 、 刘陶 、 赵江 、 杨煜东 、 赵丹丹 、 张凡 、 陈星 、 宁华 、 樊洞阳 、 陈晔 、 吴迪 、 朱红儒 、 杨震 、 马占宇 、 曹占峰 。 Ⅲ 犌犅 ／ 犜 ３６６３７ — ２０１８ 引 　　 言 　　 随着信息通信技术的普及应用 ， 加强 ＩＣＴ 供应链的安全可控保障变得至关重要 。 目前 ， 世界各国和 ＩＣＴ 行业已普遍认识到 ， 相比传统行业 ＩＣＴ 行业供应链更加复杂 ， 存在安全风险的概率更大 。 加强 ＩＣＴ 供应链安全管理 ， 可增强客户对 ＩＣＴ 供应链以及 ＩＣＴ 行业的安全信任 。 与传统供应链相比 ， ＩＣＴ 供应链具有许多不同的特点 ， 例如 ： ＩＣＴ 供应链涵盖 ＩＣＴ 产品和服务的全生命周期 ， 不仅包括传统供应链的生产 、 集成 、 仓储 、 交付等供应阶段 ， 也包括产品服务的设计开发阶段和售后运维阶段 ； ＩＣＴ 产品由全球分布的供应商开发 、 集成或交付 ， 供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降 ； 传统供应链主要关注如何将产品有效地交付给客户 ， 或者供应链健壮性的强度 ， 而 ＩＣＴ 供应链安全更关注是否会有额外的功能注入产品和服务中 ， 交付的产品和服务是否与预期一致等 。 这些特点使得 ＩＣＴ 供应链比传统供应链存在更多的安全风险 ， 加强 ＩＣＴ 供应链的安全风险管理刻不容缓 。 本标准不规范信息技术产品供应方的安全行为准则 。 推荐在关键信息基础设施或重要信息系统中使用本标准 。 然而 ， 由于个别需要和相关性 ， 组织可选择将标准应用到其他系统或特定组织 ， 不过应用本标准的控制措施可能会增加组织和外部供应商的潜在成本 ， 需要组织在成本和风险间进行权衡 。 Ⅳ 犌犅 ／ 犜 ３６６３７ — ２０１８ 信息安全技术 犐犆犜 供应链安全风险管理指南 １ 　 范围 本标准规定了信息通信技术 （ 以下简称 ＩＣＴ ） 供应链的安全风险管理过程和控制措施 。 本标准适用于重要信息系统和关键信息基础设施的 ＩＣＴ 供方和运营者对 ＩＣＴ 供应链进行安全风险管理 ， 也适用于指导 ＩＣＴ 产品和服务的供方和需方加强供应链安全管理 ， 同时还可供第三方测评机构对 ＩＣＴ 供应链进行安全风险评估时参考 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ３１７２２ — ２０１５ 　 信息技术 　 安全技术 　 信息安全风险管理 ３ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ — ２０１０ 和 ＧＢ ／ Ｔ３１７２２ — ２０１５ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 犐犆犜 需方 　 犐犆犜犪犮狇狌犻狉犲狉 从其他组织获取 ＩＣＴ 产品和服务的组织或个人 。 注 １ ： 获取可能涉及或不涉及资金交换 。 注 ２ ： 重要信息系统和关键信息基础设施的运营者 ， 通常是从 ＩＣＴ 供方获取网络产品和服务的 ＩＣＴ 需方 。 ３ ． ２ 　 犐犆犜 供方 　 犐犆犜狊狌狆狆犾犻犲狉 提供 ＩＣＴ 产品和服务的组织 。 注 １ ： 供方也可称供应商 、 供应方 。 注 ２ ： 供方可以是内部的或外部的组织 。 注 ３ ： ＩＣＴ 供方包括产品供应商 、 服务提供商 、 系统集成商 、 生产商 、 销售商 、 代理商等 。 ３ ． ３ 　 供应关系 　 狊狌狆狆犾犻犲狉狉犲犾犪狋犻狅狀 在需方和供方之间的协议 ， 可用于开展业务 ， 提供产品和服务 ， 实现商业收益 。 注 １ ： 需方和供方可以是同一个机构 。 注 ２ ： 在供应链中 ， 上游机构的需方同时也是下游机构的供方 。 终端客户可以理解为一种特殊的需方 。 ３ ． ４ 　 犐犆犜 供应链 　 犐犆犜狊狌狆狆犾狔犮犺犪犻狀 ＩＣＴ 产品和服务的供应链 ， 是指为满足供应关系通过资源和过程将需方 、 供方相互连接的网链结构 ， 可用于将 ＩＣＴ 的产品和服务提供给需方 。 １ 犌犅 ／ 犜 ３６６３７ — ２０１８ ３ ． ５ 　 供应链安全风险 　 狊狌狆狆犾狔犮犺犪犻狀狊犲犮狌狉犻狋狔狉犻狊犽 供应链安全威胁利用供应链管理中存在的脆弱性导致供应链安全事件的可能性 ， 及其由此对组织造成的影响 。 ３ ． ６ 　 供应链安全风险管理 　 狊狌狆狆犾狔犮犺犪犻狀狊犲犮狌狉犻狋狔狉犻狊犽犿犪狀犪犵犲犿犲狀狋 指导和控制组织与供应链安全风险相关问题的协调活动 。 ３ ． ７ 　 犐犆犜 供应链生命周期 　 犐犆犜狊狌狆狆犾狔犮犺犪犻狀犾犻犳犲犮狔犮犾犲 ＩＣＴ 产品和服务从无到有直至废弃的全生命周期涉及的供应链活动 。 注 ： ＩＣＴ 供应链通常以 ＩＣＴ 产品和服务的设计为起点 ， 经过开发 、 生产 、 集成 、 仓