全國信安標委：《信息安全技術信息技術產品供應鏈安全要求》征求意見（附全文） - 行業資訊

關于征求《信息安全技術信息技術產品供應鏈安全要求》國家標準意見的通知

信安字[2020] 19號

全國信息安全標準化技術委員會歸口的《信息安全技術信息技術產品供應鏈安全要求》（計劃號20192184-T-469）國家標準現已形成標準征求意見稿。

根據《全國信息安全標準化技術委員會標準制修訂工作程序》要求，現將該國家標準（征求意見稿）面向社會公開征求意見。標準相關材料已發布在信安標委網站（網址：https://www.tc260.org.cn）和國家標準化管理委員會網站（網址：http://www.sac.gov.cn），如有意見或建議請于2020年9月26日24:00前反饋至秘書處。

聯系人：王姣 010-64102730/13661025214 wangjiao@cesi.cn

全國信息安全標準化技術委員會

2020年7月27日

信息安全技術信息技術產品供應鏈安全要求

1 范圍

本文件規定了信息技術產品供應方和需求方應滿足的供應鏈基本安全要求。

本文件適用于政務信息系統、關鍵信息基礎設施的信息技術產品供應鏈安全管理活動，也可為其他信息系統的供應鏈安全管理活動提供參考。

2 規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T 32921—2016 信息安全技術信息技術產品供應方行為安全準則

GB/T 36637—2018 信息安全技術 ICT供應鏈安全風險管理指南

3 術語和定義

GB/T 32921—2016、GB/T 36637—2018界定的以及下列術語和定義適用于本文件。

3.1 信息技術產品 information technology product

具有采集、存儲、處理、傳輸、控制、交換、顯示數據或信息功能的硬件、軟件、系統和服務。

注：本文件中信息技術產品主要包括核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對政務信息系統、關鍵信息基礎設施安全有重要影響的信息技術產品。

[來源：GB/T 32921－2016，定義3.1，有修改]

3.2 需求方 acquirer

獲取信息技術產品的組織。

注：本文件中需求方主要包括政府部門和關鍵信息基礎設施運營者。

[來源：GB/T 36637－2018，定義3.1，有修改]

3.3 供應方 supplier

提供信息技術產品的組織。

注：供應方主要包括信息技術產品供應商、服務提供商、系統集成商、生產商、銷售商、代理商等。

[來源：GB/T 36637－2018，定義3.2，有修改]

3.4 信息技術產品供應鏈 information technology product supply chain

通過資源和過程將需求方、供應方相互鏈接的網鏈結構，用于將信息技術產品提供給需求方。

[來源：GB/T 36637－2018，定義3.4，有修改]

4 基本安全要求

4.1 供應方安全要求

供應方應：

a) 聲明不會通過在信息技術產品中設置后門，或利用提供產品的便利條件非法獲取用戶數據、控制和操縱用戶系統和設備，不會利用需求方對信息技術產品的依賴性謀取不正當利益，不會出于市場競爭的需要強迫需求方對信息技術產品進行升級或更新換代。

b) 承諾發現信息技術產品存在安全缺陷、漏洞等風險時，立即采取補救措施，包括但不限于漏洞修復、安全替代方案等，并及時通知合作伙伴和需求方。

c) 對信息技術產品研發、制造過程中涉及的外國實體擁有或控制的技術專利和知識產權，獲得十年以上授權。

d) 按照GB/T 36637-2018要求開展供應鏈安全風險評估。

e) 建立并實施信息技術產品安全開發流程，明確開發管理要求、安全控制措施和人員行為準則等。

f) 制定所采購的信息技術產品及部件的可追溯性策略，記錄并保留信息技術產品及部件的原產地、原供應方等相關信息。

g) 建立并實施規范的生產流程，采用訪問控制、完整性和一致性校驗等措施保障信息技術產品關鍵生產環節的安全，并對信息技術產品及部件進行唯一標識。

h) 制定物流服務供應方、物流路線的安全策略，記錄和保留信息技術產品及部件的倉儲、運輸和交付等狀態。

i) 在規定或者與需求方約定的期限內，不應終止提供安全維護；在需求方授權的范圍內開展運行維護工作，保障信息技術產品運行維護過程中的數據安全，防止數據泄露、篡改、損毀，未經需求方同意不得向他人提供數據或將數據用于除運行維護以外的目的。

j) 提供中文版運行維護、二次開發等技術資料。

4.2 需求方安全要求

需求方應：

a) 通過采購文件、協議等要求供應方符合4.1的要求。

b) 建立和維護合格供應方目錄，目錄中的供應方應沒有出現因政治、外交、貿易等因素中斷信息技術產品、芯片等元器件、材料供應，停止軟件授權、升級或技術支持服務的先例。

c) 從多個國家或地區獲得信息技術產品及其部件，確保來源具有多樣性。

d) 定期評估信息技術產品供應中斷、停止授權、拒絕提供產品升級或技術支持服務的風險，確保供應鏈彈性；在約定的期限內，要求供應方提供信息技術產品供應鏈安全風險評估報告。

來源：信安標委

成員展示