隨著經(jīng)濟(jì)全球化的日益深入和信息通信技術(shù)的飛速發(fā)展，信息通信技術(shù)供應(yīng)鏈(簡(jiǎn)稱“ICT 供應(yīng)鏈”)已經(jīng)發(fā)展為一個(gè)遍布全球的復(fù)雜系統(tǒng)。這一復(fù)雜系統(tǒng)中任一組件、任一環(huán)節(jié)出現(xiàn)問(wèn)題，均可能帶來(lái)信息通信產(chǎn)品和服務(wù)的安全問(wèn)題，進(jìn)而影響信息通信行業(yè)安全、經(jīng)濟(jì)社會(huì)發(fā)展安全，乃至國(guó)家安全。作為網(wǎng)絡(luò)安全工作的重要一環(huán)，如何加強(qiáng) ICT 供應(yīng)鏈安全管理，有效保障供應(yīng)鏈安全已經(jīng)成為學(xué)術(shù)和產(chǎn)業(yè)領(lǐng)域研究的熱點(diǎn)問(wèn)題之一。

一、國(guó)內(nèi)外政策法規(guī)情況

美歐等發(fā)達(dá)國(guó)家和地區(qū)在信息技術(shù)供應(yīng)鏈安全管理領(lǐng)域起步較早，出臺(tái)了大量政策法規(guī)和標(biāo)準(zhǔn)規(guī)范，用于加強(qiáng) ICT 供應(yīng)鏈安全管理。我國(guó)近年來(lái)也不斷出臺(tái)相關(guān)法律規(guī)范，逐步完善 ICT 供應(yīng)鏈安全管理工作。

(一)美國(guó)

2018 年 9 月，特朗普政府發(fā)布《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》，要求改進(jìn)聯(lián)邦供應(yīng)鏈風(fēng)險(xiǎn)管理。為確保聯(lián)邦政府部署應(yīng)用的技術(shù)安全可靠，該戰(zhàn)略提出在聯(lián)邦機(jī)構(gòu)采購(gòu)和風(fēng)險(xiǎn)管理流程中整合供應(yīng)鏈風(fēng)險(xiǎn)管理的要求。同時(shí)，要求各部門和機(jī)構(gòu)之間要更好地共享供應(yīng)鏈安全風(fēng)險(xiǎn)信息，通過(guò)建立供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估共享服務(wù)等方式，提高對(duì)供應(yīng)鏈威脅的認(rèn)識(shí)，減少政府內(nèi)部重復(fù)的供應(yīng)鏈活動(dòng)。

2018 年 12 月，美國(guó)國(guó)會(huì)通過(guò)了《聯(lián)邦采購(gòu)供應(yīng)鏈安全法案》。該法案設(shè)立了新的聯(lián)邦采購(gòu)安全理事會(huì)，授權(quán)其為聯(lián)邦供應(yīng)鏈安全制定規(guī)則，以增強(qiáng)聯(lián)邦采購(gòu)和采購(gòu)規(guī)則的網(wǎng)絡(luò)安全彈性。同年 12 月，美國(guó)國(guó)土安全部正式組建 ICT 供應(yīng)鏈風(fēng)險(xiǎn)管理特別任務(wù)組。該任務(wù)組主要職責(zé)時(shí)識(shí)別全球 ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)挑戰(zhàn)，并提供可操作的解決方案。

2019 年 5 月，特朗普簽署第 13873 號(hào)《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全行政令》，要求商務(wù)部長(zhǎng)、國(guó)務(wù)卿、國(guó)土安全部、國(guó)家情報(bào)總監(jiān)分別根據(jù)自身職責(zé)開(kāi)展持續(xù)性評(píng)估工作，每年均需發(fā)布相關(guān)評(píng)估報(bào)告。其中，國(guó)家情報(bào)總監(jiān)負(fù)責(zé)對(duì)外國(guó)擁有、控制、管轄的信息通信技術(shù)或服務(wù)，以及由國(guó)外設(shè)計(jì)、開(kāi)發(fā)、制造的信息通信技術(shù)或服務(wù)可能給美國(guó)帶來(lái)的威脅進(jìn)行評(píng)估。國(guó)土安全部負(fù)責(zé)對(duì)存在安全漏洞并對(duì)美國(guó)國(guó)家安全造成重大潛在威脅的實(shí)體、硬件、軟件和服務(wù)進(jìn)行評(píng)估。

2021 年 2 月，拜登簽署了第 14017 號(hào)《美國(guó)供應(yīng)鏈行政令》，要求聯(lián)邦機(jī)構(gòu)對(duì)關(guān)鍵領(lǐng)域和行業(yè)的全球供應(yīng)鏈進(jìn)行審查，包括在行政令發(fā)布后的 100天內(nèi)針對(duì)包括半導(dǎo)體芯片的四個(gè)關(guān)鍵領(lǐng)域的供應(yīng)鏈進(jìn)行審查;在行政令發(fā)布后的一年之內(nèi)對(duì)國(guó)防、醫(yī)療衛(wèi)生、通信技術(shù)、能源、交通和食品生產(chǎn)六個(gè)行業(yè)進(jìn)行供應(yīng)鏈審查。

(二)歐盟

2015 年 8 月，歐洲網(wǎng)絡(luò)與信息安全局(ENISA)發(fā)布《供應(yīng)鏈完整性：ICT 供應(yīng)鏈風(fēng)險(xiǎn)和挑戰(zhàn)概述，以及發(fā)展方向愿景》報(bào)告，指出 ICT 供應(yīng)鏈完整性是國(guó)家經(jīng)濟(jì)發(fā)展的關(guān)鍵因素，提高供應(yīng)鏈完整度對(duì)公共和私營(yíng)部門意義重大，并建議供應(yīng)鏈安全管理應(yīng)遵循同一套實(shí)踐，為評(píng)估和管理提供共同的基礎(chǔ)，政府應(yīng)與企業(yè)合作建立 ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估框架。

2021 年 7 月，ENISA 發(fā)布了《ENISA 的供應(yīng)鏈攻擊威脅情景》，對(duì)供應(yīng)鏈攻擊進(jìn)行了分類，并對(duì)從 2020 年 1 月到 7 月初的 24 起供應(yīng)鏈攻擊事件進(jìn)行了研究，對(duì)供應(yīng)鏈攻擊者來(lái)源、攻擊手段、攻擊目標(biāo)以及應(yīng)對(duì)措施進(jìn)行了分析。

(三)俄羅斯

2012 年，俄羅斯推出了《工業(yè)發(fā)展及其競(jìng)爭(zhēng)力提升國(guó)家綱要》，針對(duì)產(chǎn)品生命周期，研究制定一系列綜合性保障措施，其主旨就是要盡快形成和完善俄羅斯的產(chǎn)業(yè)體系，減少對(duì)國(guó)外技術(shù)和產(chǎn)品依賴。

(四)我國(guó)相關(guān)政策法規(guī)

《網(wǎng)絡(luò)安全法》第三十五條“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查”和第三十六條“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任”，分別從網(wǎng)絡(luò)安全審查、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全角度對(duì)供應(yīng)鏈安全提出要求。

2019 年 7 月，國(guó)家互聯(lián)網(wǎng)信息辦公室等四部門發(fā)布《云計(jì)算服務(wù)安全評(píng)估辦法》，要求云計(jì)算服務(wù)安全評(píng)估工作中，應(yīng)重點(diǎn)評(píng)估“云平臺(tái)技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況”。申請(qǐng)安全評(píng)估的云服務(wù)商應(yīng)提交“業(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報(bào)告”。

2020 年 4 月，《網(wǎng)絡(luò)安全審查辦法》明確提出，為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國(guó)家安全，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國(guó)家安全的，應(yīng)進(jìn)行網(wǎng)絡(luò)安全審查。

2021 年 7 月 30 日正式公布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十九條明確指出：“運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù);采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過(guò)安全審查”。

二、國(guó)外標(biāo)準(zhǔn)情況

(一)ISO/IEC 27036《信息技術(shù) 安全技術(shù)供應(yīng)商關(guān)系的信息安全》系列標(biāo)準(zhǔn)

該系列標(biāo)準(zhǔn)由 ISO/IEC JTC1/SC27 研制，旨在確保組織戰(zhàn)略目標(biāo)和商業(yè)需求實(shí)現(xiàn)的同時(shí)，降低采購(gòu)方和供應(yīng)方在供應(yīng)關(guān)系中存在的信息安全風(fēng)險(xiǎn)。ISO/IEC JTC1/SC27 是國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)第一聯(lián)合技術(shù)委員會(huì)(JTC1)下的“信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)分技術(shù)委員會(huì)”，負(fù)責(zé)網(wǎng)絡(luò)安全領(lǐng)域國(guó)際標(biāo)準(zhǔn)化工作。

該系列標(biāo)準(zhǔn)包括四個(gè)部分，分別是 ISO/IEC27036-1：2021《第 1 部分：概述和相關(guān)概念》，提供了 27036 系列標(biāo)準(zhǔn)的總體介紹，對(duì)供應(yīng)商關(guān)系的類型、相關(guān)安全風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)管理相關(guān)概念進(jìn)行了描述;ISO/IEC 27036-2：2014《第 2 部分：通用要求》，對(duì)供應(yīng)關(guān)系中的信息安全進(jìn)行定義，并對(duì)實(shí)施、操作、評(píng)估、應(yīng)對(duì)措施等提出了通用要求;ISO/IEC 27036-3：2013《第 3 部分：供應(yīng)鏈安全指南》，對(duì) ICT 供應(yīng)鏈中產(chǎn)品和服務(wù)的安全風(fēng)險(xiǎn)進(jìn)行描述和分析，給出了應(yīng)對(duì)相應(yīng)風(fēng)險(xiǎn)的措施;ISO/IEC 27036-4：2016《第 4 部分：云服務(wù)安全指南》，提出了云計(jì)算服務(wù)在 ICT 供應(yīng)鏈方面存在的安全風(fēng)險(xiǎn)及相關(guān)應(yīng)對(duì)措施。

(二)ISO/IEC 20243《信息技術(shù) 開(kāi)放可信技術(shù)提供商標(biāo)準(zhǔn) 減少惡意和仿冒組件》系列標(biāo)準(zhǔn)

該系列標(biāo)準(zhǔn)包括 ISO/IEC 20243-1：2018《要求和建議》、ISO/IEC 20243-2：2018《O-TTPS 和ISO/IEC 20243-1：2018 的評(píng)估流程》兩個(gè)部分，針對(duì)信息通信技術(shù)硬件和軟件在產(chǎn)品生命周期內(nèi)面臨的完整性威脅，特別是惡意和仿冒組件帶來(lái)的安全風(fēng)險(xiǎn)，提供了一套應(yīng)對(duì)準(zhǔn)則、方針和建議。

(三)ISO 28000《供應(yīng)鏈安全管理體系規(guī)范》

該標(biāo)準(zhǔn)作為一套供應(yīng)鏈安全管理規(guī)范，說(shuō)明了組織建立、實(shí)施供應(yīng)鏈安全管理體系的要求，保障供應(yīng)鏈安全的重要內(nèi)容，為各類組織開(kāi)展供應(yīng)鏈安全管理提供了一個(gè)較為系統(tǒng)的管理模式。

(四)NIST SP 800-161《聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》

該標(biāo)準(zhǔn)是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院在 NIST SP800-39《管理信息安全風(fēng)險(xiǎn)：組織、任務(wù)和信息系統(tǒng)視角》、NIST SP 800-53《信息系統(tǒng)和組織的安全和隱私控制措施》基礎(chǔ)上，針對(duì)為聯(lián)邦信息系統(tǒng)和機(jī)構(gòu)供應(yīng)鏈方面面臨的安全風(fēng)險(xiǎn)，提出的 ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)控制流程和措施。該標(biāo)準(zhǔn)通過(guò)提出將供應(yīng)鏈安全風(fēng)險(xiǎn)納入組織整體的風(fēng)險(xiǎn)管理過(guò)程，并給出 19 類 ICT 供應(yīng)鏈安全控制措施，以減少聯(lián)邦信息系統(tǒng)和組織面臨的供應(yīng)鏈安全風(fēng)險(xiǎn)。

三、我國(guó)相關(guān)標(biāo)準(zhǔn)

(一) GB/T 36637—2018《信息安全技術(shù)ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》

該標(biāo)準(zhǔn)分析了 ICT 供應(yīng)鏈的特點(diǎn)，梳理了 ICT 供應(yīng)鏈面臨的典型安全威脅和安全脆弱性。在通用風(fēng)險(xiǎn)管理模型基礎(chǔ)上，提出了 ICT 供應(yīng)鏈風(fēng)險(xiǎn)管理過(guò)程，細(xì)化風(fēng)險(xiǎn)管理的步驟和實(shí)施細(xì)則，提出了供應(yīng)鏈完整性保護(hù)、可追溯性等技術(shù)安全措施，以及制度和人員管理、供應(yīng)鏈生命周期管理、采購(gòu)?fù)獍c供應(yīng)商管理等管理安全措施，為 ICT 產(chǎn)品和服務(wù)的供應(yīng)方和需求方加強(qiáng)供應(yīng)鏈安全管理提供指導(dǎo)。該標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)提出并歸口。

(二) GB/T 32921—2016《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》

該標(biāo)準(zhǔn)規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方在提供信息技術(shù)產(chǎn)品過(guò)程中，為保護(hù)用戶相關(guān)信息，維護(hù)用戶信息安全應(yīng)遵守的基本準(zhǔn)則，分別從用戶相關(guān)信息收集和處理的安全、遠(yuǎn)程控制用戶產(chǎn)品的安全和其他行為安全等方面提出相關(guān)安全要求，適用于信息技術(shù)產(chǎn)品供應(yīng)、運(yùn)行或維護(hù)過(guò)程中的供應(yīng)方行為管理。該標(biāo)準(zhǔn)由 TC260 提出并歸口。

(三) GB/T 32926—2016《信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》

該標(biāo)準(zhǔn)針對(duì)政府部門在使用信息技術(shù)服務(wù)外包時(shí)面臨的外包服務(wù)機(jī)構(gòu)背景復(fù)雜、服務(wù)人員流動(dòng)性大、內(nèi)部管理不規(guī)范等問(wèn)題帶來(lái)的信息安全風(fēng)險(xiǎn)，建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型，明確了服務(wù)外包信息安全管理角色和責(zé)任，將管理活動(dòng)劃分為規(guī)劃準(zhǔn)備、機(jī)構(gòu)和人員選擇、運(yùn)行監(jiān)督、改進(jìn)完成四個(gè)階段，提出具體信息安全管理要求，為政府部門信息技術(shù)服務(wù)外包的安全管理提供參考。該標(biāo)準(zhǔn)由 TC260 提出并歸口。

(四) GB/T 31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》

該標(biāo)準(zhǔn)提出了云服務(wù)商應(yīng)具備的技術(shù)能力，適用于對(duì)政府部門使用的云計(jì)算服務(wù)進(jìn)行安全管理。標(biāo)準(zhǔn)從重要設(shè)備安全檢測(cè)情況，重要信息系統(tǒng)、組件獲服務(wù)的供應(yīng)鏈保護(hù)措施情況，供應(yīng)商情況等方面對(duì)云服務(wù)商的供應(yīng)鏈安全提出要求。該標(biāo)準(zhǔn)由TC260 提出并歸口。

(五) GB/T 24420—2009《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》

該標(biāo)準(zhǔn)在參考國(guó)際航天質(zhì)量標(biāo)準(zhǔn)、美國(guó)機(jī)動(dòng)車工程師協(xié)會(huì)標(biāo)準(zhǔn)和歐洲航空航天工業(yè)協(xié)會(huì)標(biāo)準(zhǔn)《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》等標(biāo)準(zhǔn)的基礎(chǔ)上制定。標(biāo)準(zhǔn)給出了供應(yīng)鏈風(fēng)險(xiǎn)管理的通用指南，包括供應(yīng)鏈風(fēng)險(xiǎn)管理的步驟，以及識(shí)別、分析、評(píng)價(jià)和應(yīng)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的方法和工具，適用于各類組織保護(hù)其在供應(yīng)鏈上進(jìn)行的產(chǎn)品的采購(gòu)活動(dòng)。該標(biāo)準(zhǔn)由全國(guó)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC 310)提出并歸口。

(六) 《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求(報(bào)批稿)》

該標(biāo)準(zhǔn)提出了關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)信息技術(shù)產(chǎn)品供應(yīng)鏈在設(shè)計(jì)、開(kāi)發(fā)、采購(gòu)、生產(chǎn)、交付和運(yùn)維等環(huán)節(jié)的安全要求，主要從安全漏洞缺陷的防范、安全運(yùn)營(yíng)維護(hù)、供應(yīng)商管理、供應(yīng)來(lái)源多樣性等方面提出安全要求，適用于關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)加強(qiáng)信息技術(shù)產(chǎn)品供應(yīng)鏈安全。該標(biāo)準(zhǔn)由 TC260 提出并歸口，目前處于報(bào)批稿階段。

(七) 《信息安全技術(shù) 軟件供應(yīng)鏈安全(草案)》

該標(biāo)準(zhǔn)規(guī)定了軟件產(chǎn)品和服務(wù)供應(yīng)鏈所涉及相關(guān)要素的安全要求，包括軟件供應(yīng)鏈組織管理要求，以及開(kāi)發(fā)、交付、使用等環(huán)節(jié)的安全要求。該標(biāo)準(zhǔn)由 TC260 提出并歸口，目前處在草案階段。

四、供應(yīng)鏈安全標(biāo)準(zhǔn)化工作建議

(一) ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)分析

目前，已發(fā)布和在研的 ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)主要從 ICT 供應(yīng)鏈生命周期和安全風(fēng)險(xiǎn)兩個(gè)方面提出相應(yīng)安全要求。

ICT 供應(yīng)鏈生命周期安全通常從供應(yīng)方和需求方的不同角度提出安全要求。從供應(yīng)方角度，與傳統(tǒng)物流供應(yīng)鏈安全管理聚焦于將產(chǎn)品或服務(wù)從供應(yīng)方安全交付給需求方不同，供應(yīng)方 ICT 供應(yīng)鏈安全管理需要覆蓋 ICT 產(chǎn)品和服務(wù)的研發(fā)設(shè)計(jì)、生產(chǎn)交付，以及產(chǎn)品和服務(wù)的運(yùn)行維護(hù) 3 個(gè)主要環(huán)節(jié)。從需求方角度，需求方通常需要在現(xiàn)有管理制度基礎(chǔ)上進(jìn)一步明確供應(yīng)鏈管理制度的要求，建立供應(yīng)商目錄，開(kāi)展采購(gòu)管理。因此，需求方在 ICT 供應(yīng)鏈安全管理方面主要包括供應(yīng)商管理、采購(gòu)?fù)獍?、管理制?3個(gè)環(huán)節(jié)。在安全風(fēng)險(xiǎn)方面，ICT 供應(yīng)鏈主要面臨 6 類安全風(fēng)險(xiǎn)，分別是惡意篡改、仿冒偽造、供應(yīng)中斷、信息泄露、安全漏洞和其他安全威脅。

ISO/IEC 27036《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系的信息安全》系列標(biāo)準(zhǔn)基于過(guò)程模型建立了采購(gòu)過(guò)程(主要是供應(yīng)商選擇和采購(gòu)?fù)獍?和供應(yīng)過(guò)程(主要是生產(chǎn)交付)，并在信息安全管理體系基礎(chǔ)上增加供應(yīng)鏈的管理制度和措施。

ISO/IEC 20243《信息技術(shù) 開(kāi)放可信技術(shù)提供商標(biāo)準(zhǔn) 減少惡意和仿冒組件》系列標(biāo)準(zhǔn)主要針對(duì) ICT產(chǎn)品和服務(wù)在研發(fā)設(shè)計(jì)、生產(chǎn)交付、運(yùn)行維護(hù)等環(huán)節(jié)面臨的惡意篡改、仿冒偽造安全風(fēng)險(xiǎn)提出應(yīng)對(duì)措施。

ISO 28000《供應(yīng)鏈安全管理體系規(guī)范》建立了供應(yīng)鏈安全的管理體系，用于提高供應(yīng)鏈在生產(chǎn)交付方面的安全性。

NIST SP 800-161《聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》建立了聯(lián)邦政府部門和機(jī)構(gòu)的供應(yīng)鏈的風(fēng)險(xiǎn)管理模型，提出了覆蓋 ICT 供應(yīng)鏈生命周期各環(huán)節(jié)的安全控制措施。

GB/T 36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》覆蓋了供應(yīng)方和需求方在 ICT 供應(yīng)鏈生命周期中的各環(huán)節(jié)，并針對(duì)各類安全風(fēng)險(xiǎn)提出安全要求和相應(yīng)安全控制措施。

GB/T 32921—2016《信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》主要針對(duì)運(yùn)行維護(hù)環(huán)節(jié)存在的信息泄露風(fēng)險(xiǎn)提出安全要求，規(guī)范供應(yīng)方行為。

GB/T 32926-2016《信息安全技術(shù) 政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》主要針對(duì)信息泄露、安全漏洞等安全風(fēng)險(xiǎn)，提出采購(gòu)?fù)獍凸芾碇贫鹊拳h(huán)節(jié)的安全要求。

GB/T 31168—2014《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》主要針對(duì)云計(jì)算服務(wù)在供應(yīng)商管理、采購(gòu)?fù)獍拳h(huán)節(jié)可能存在的安全風(fēng)險(xiǎn)提出安全要求。

GB/T 24420—2009《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》提出了供應(yīng)鏈安全風(fēng)險(xiǎn)的分析框架，主要針對(duì)生產(chǎn)交付環(huán)節(jié)提出安全要求。

在研標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求(報(bào)批稿)》覆蓋了 ICT供應(yīng)鏈的生命周期，主要針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和政務(wù)信息系統(tǒng)供應(yīng)鏈安全提出安全要求。

(二) ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)建議

為加強(qiáng)我國(guó)供應(yīng)鏈安全管理力度，發(fā)揮網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)政策法規(guī)的支撐作用，推動(dòng)供應(yīng)鏈安全標(biāo)準(zhǔn)體系化，結(jié)合 ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)現(xiàn)狀，提出以下三方面建議：

一是梳理分析 ICT 供應(yīng)鏈監(jiān)管方面的安全需求，推進(jìn)相關(guān)標(biāo)準(zhǔn)研制。目前，國(guó)內(nèi)外 ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)主要從供應(yīng)方、需求方兩個(gè)維度，圍繞 ICT 供應(yīng)鏈的生命周期，以及可能面臨的主要安全風(fēng)險(xiǎn)提出相關(guān)安全要求。隨著《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等法律法規(guī)的出臺(tái)，ICT 供應(yīng)鏈安全在經(jīng)濟(jì)社會(huì)安全、國(guó)家安全中的作用和影響不斷強(qiáng)化。加強(qiáng) ICT 供應(yīng)鏈的安全監(jiān)管，保障供應(yīng)鏈安全已經(jīng)成為政府部門、學(xué)術(shù)研究領(lǐng)域和 ICT 產(chǎn)業(yè)的共識(shí)，急需針對(duì) ICT 供應(yīng)鏈安全監(jiān)管要求，開(kāi)展標(biāo)準(zhǔn)化需求分析，推動(dòng) ICT 供應(yīng)鏈安全管理能力提升。

二是加快供應(yīng)鏈安全測(cè)試評(píng)估相關(guān)標(biāo)準(zhǔn)研制，推動(dòng)安全要求標(biāo)準(zhǔn)的有效落地實(shí)施。已發(fā)布和在研的 ICT 供應(yīng)鏈安全國(guó)家標(biāo)準(zhǔn)主要針對(duì)各類安全風(fēng)險(xiǎn)提出安全要求和相應(yīng)控制措施。相關(guān)標(biāo)準(zhǔn)明確了安全要求，但并未進(jìn)一步針對(duì)安全控制措施的實(shí)施給出明確指導(dǎo)，準(zhǔn)確、客觀評(píng)價(jià) ICT 供應(yīng)鏈安全管理水平存在一定難度。針對(duì)該問(wèn)題，急需開(kāi)展 ICT 供應(yīng)鏈安全測(cè)試評(píng)估相關(guān)標(biāo)準(zhǔn)的研制，通過(guò)建立合理化的測(cè)試評(píng)估流程，推動(dòng) ICT 供應(yīng)鏈安全要求和控制措施的有效落地。

三是加大需求方供應(yīng)鏈安全管理問(wèn)題分析力度，強(qiáng)化對(duì)信息泄露、供應(yīng)鏈中斷等安全風(fēng)險(xiǎn)相關(guān)技術(shù)措施的研究。目前，已發(fā)布和在研標(biāo)準(zhǔn)側(cè)重點(diǎn)多集中于供應(yīng)方角度，安全要求集中在研發(fā)設(shè)計(jì)、生產(chǎn)交付和運(yùn)行維護(hù)等環(huán)節(jié)。針對(duì)需求方供應(yīng)鏈安全管理，特別是針對(duì)供應(yīng)商管理、采購(gòu)?fù)獍南嚓P(guān)研究有待加強(qiáng)。在安全風(fēng)險(xiǎn)應(yīng)對(duì)方面，已發(fā)布和在研標(biāo)準(zhǔn)主要關(guān)注于惡意篡改、偽造仿冒、安全漏洞等風(fēng)險(xiǎn)的防范，對(duì)于信息泄露、供應(yīng)鏈中斷等安全風(fēng)險(xiǎn)，針對(duì)性的要求和技術(shù)措施較少。因此，急需在相關(guān)標(biāo)準(zhǔn)研制中予以重點(diǎn)關(guān)注。

(本文刊登于《中國(guó)信息安全》雜志2021年第10期)

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202307/ccaa_53050.html