《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南-編制說(shuō)明》

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

本項(xiàng)目為2012年的標(biāo)準(zhǔn)編制項(xiàng)目，名為“信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)

險(xiǎn)管理指南”（以下簡(jiǎn)稱(chēng)《供應(yīng)鏈指南》），計(jì)劃號(hào)為20120528-T-469。該標(biāo)

準(zhǔn)規(guī)定了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的過(guò)程和控制措施。

本項(xiàng)目由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院負(fù)責(zé)具體實(shí)施，參與起草單位包括中國(guó)

科學(xué)院軟件研究所、華為技術(shù)有限公司、聯(lián)想（北京）有限公司、浙江螞蟻小微

金融服務(wù)集團(tuán)股份有限公司、阿里巴巴（北京）軟件服務(wù)有限公司、北京京東叁

佰陸拾度電子商務(wù)有限公司、中國(guó)信息通信研究院、浪潮電子信息產(chǎn)業(yè)股份有限

公司、微軟（中國(guó)）有限公司、國(guó)家信息技術(shù)安全研究中心、英特爾（中國(guó)）有

限公司、阿里云計(jì)算有限公司、中國(guó)信息安全認(rèn)證中心、清華同方計(jì)算機(jī)有限公

司、中國(guó)科學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室。

1.2主要工作過(guò)程

1.2012年3月，成立標(biāo)準(zhǔn)編制組

考慮到信息通信技術(shù)產(chǎn)品和服務(wù)的產(chǎn)業(yè)現(xiàn)狀，標(biāo)準(zhǔn)編制組廣泛吸收了國(guó)內(nèi)的

研究機(jī)構(gòu)、第三方測(cè)評(píng)機(jī)構(gòu)、信息通信技術(shù)企業(yè)參與到標(biāo)準(zhǔn)研制工作，同時(shí)按照

相關(guān)程序，接受了部分國(guó)外企業(yè)作為觀察成員，參與標(biāo)準(zhǔn)研制過(guò)程。

2.2012年4月至2013年6月，調(diào)研國(guó)內(nèi)外供應(yīng)鏈安全標(biāo)準(zhǔn)現(xiàn)狀

研究現(xiàn)有國(guó)內(nèi)外供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)，分析各自特點(diǎn)，學(xué)習(xí)借鑒，主要包括：

1）《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》（GB/T24420）

2）《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》（GB/T31722，即ISO/IEC

27005）

3）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南》（GB/Z24364）

4）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984）

5）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（GB/T31509）

6）《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》（GB/T22081，即ISO/IEC

27002）

7）《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》（GB/T31168）

8）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239）

9）《信息安全技術(shù)政府部門(mén)信息安全管理基本要求》（GB/T29245）

1

10）《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》（GB/T32921）

11）《Informationtechnology-Securitytechniques-Codeof

practiceforInformationsecuritycontrols》(ISO/IEC27002)

12）《Informationtechnology-Securitytechniques-Information

securityforsupplierrelationships》（ISO/IEC27036）

13）《Systemsandsoftwareengineering-Systemsandsoftware

assurance》（ISO/IEC15026）

14）《InformationTechnology-OpenTrustedTechnologyProviderTM

Standard(O-TTPS)-Mitigatingmaliciouslytaintedandcounterfeit

products》（ISO/IEC22043）

15）《SupplyChainRiskManagementPracticesforFederal

InformationSystemsandOrganizations》（NISTSP800-161）

16）《SecurityandPrivacyControlsforFederalInformation

SystemsandOrganizations》（NISTSP800-53）

3.2013年7-9月，調(diào)研國(guó)內(nèi)信息通信技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈安全需求與產(chǎn)

業(yè)現(xiàn)狀

2013年7-9月，與國(guó)內(nèi)外信息通信技術(shù)產(chǎn)品和服務(wù)廠商、第三方測(cè)評(píng)機(jī)構(gòu)等

代表進(jìn)行研討，并到個(gè)別廠商和政府機(jī)構(gòu)實(shí)地調(diào)研情況，了解信息通信技術(shù)產(chǎn)品

和服務(wù)供應(yīng)鏈的管理現(xiàn)狀與安全需求。

4.2013年10月，召開(kāi)標(biāo)準(zhǔn)啟動(dòng)會(huì)，確定標(biāo)準(zhǔn)范圍和框架

2013年10月編制組召開(kāi)標(biāo)準(zhǔn)啟動(dòng)會(huì)，與參與單位共同討論，明確了標(biāo)準(zhǔn)的

適用范圍和草案框架。

5.2013年11月至2014年12月，初步形成標(biāo)準(zhǔn)草案，編制組內(nèi)開(kāi)會(huì)討論

根據(jù)標(biāo)準(zhǔn)草案框架，編制標(biāo)準(zhǔn)草案初稿v0.1，并于2014年12月召開(kāi)標(biāo)準(zhǔn)內(nèi)

部研討會(huì)，與編制組成員進(jìn)行研討，會(huì)上對(duì)于ICT供應(yīng)鏈安全管理指南的適用對(duì)

象（主要面向政府機(jī)關(guān)和大型國(guó)有企業(yè)）達(dá)成了共識(shí)。但是對(duì)于ICT供應(yīng)鏈安全

管理指南的具體框架內(nèi)容還存在部分爭(zhēng)議，需要未來(lái)進(jìn)一步協(xié)商明確。

6.2016年1月-12月，ICT供應(yīng)鏈信任研究課題，為標(biāo)準(zhǔn)工作提供了基礎(chǔ)。

2016年1月至12月，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院與微軟公司聯(lián)合開(kāi)展了

“ICT供應(yīng)鏈信任”課題研究，并于2016年2月27日、6月7日召開(kāi)了兩次中

2

美專(zhuān)家之間的ICT供應(yīng)鏈安全信任研討會(huì)，目前課題已經(jīng)形成研究報(bào)告，課題成

果為供應(yīng)鏈標(biāo)準(zhǔn)編制工作奠定了基礎(chǔ)。

7.2016年10月，成都標(biāo)準(zhǔn)會(huì)議周匯報(bào)標(biāo)準(zhǔn)編制工作，并進(jìn)行研討

2016年10月在成都召開(kāi)的標(biāo)準(zhǔn)會(huì)議周上匯報(bào)標(biāo)準(zhǔn)編制工作，分析了原有標(biāo)

準(zhǔn)草案的不足，并提出了新的標(biāo)準(zhǔn)框架。會(huì)上對(duì)標(biāo)準(zhǔn)范圍、標(biāo)準(zhǔn)應(yīng)用等方面進(jìn)行

了討論，對(duì)于標(biāo)準(zhǔn)范圍、框架等內(nèi)容還需成立新的編制組，進(jìn)一步討論明確。

8.2016年11月-2017年3月，成立新的標(biāo)準(zhǔn)編制組，開(kāi)展標(biāo)準(zhǔn)編制工作

成立新的標(biāo)準(zhǔn)編制組，并組織成員單位討論標(biāo)準(zhǔn)范圍、框架、爭(zhēng)議問(wèn)題，定

好標(biāo)準(zhǔn)框架后，定期召開(kāi)標(biāo)準(zhǔn)編制組會(huì)議對(duì)標(biāo)準(zhǔn)草案進(jìn)行迭代更新，已召開(kāi)6

次標(biāo)準(zhǔn)編制組會(huì)議，形成標(biāo)準(zhǔn)草案v1.3版本。

2016年11月24日，成立新的標(biāo)準(zhǔn)編制組，討論確定標(biāo)準(zhǔn)編制思路和框

架。

2017年1月12日，參研單位提交貢獻(xiàn)，討論標(biāo)準(zhǔn)草案v0.2。

2017年2月27日，標(biāo)準(zhǔn)編制組研討，討論標(biāo)準(zhǔn)草案v0.5。

2017年3月9日，標(biāo)準(zhǔn)編制組研討，討論標(biāo)準(zhǔn)草案v0.9。

2017年3月23日，標(biāo)準(zhǔn)編制組研討，討論標(biāo)準(zhǔn)草案v1.1。

2017年3月29日，與NISTSP800-161的第一作者JonBoyens進(jìn)行電

話(huà)會(huì)議，交流供應(yīng)鏈安全標(biāo)準(zhǔn)。

二、編制原則和主要內(nèi)容

2.1編制原則

本標(biāo)準(zhǔn)在GB/T31722《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》的指導(dǎo)下，

旨在針對(duì)ICT供應(yīng)鏈的特點(diǎn)，細(xì)化ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的過(guò)程和控制措施，

為ICT產(chǎn)品服務(wù)的需方或供方提供管理ICT供應(yīng)鏈安全風(fēng)險(xiǎn)的實(shí)施指南。本標(biāo)準(zhǔn)

的研究與編制工作遵循以下原則：

一是以國(guó)內(nèi)外供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)為基礎(chǔ)?！豆?yīng)鏈指南》是針對(duì)ICT供應(yīng)

鏈安全風(fēng)險(xiǎn)管理指南，以國(guó)內(nèi)供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)要求為基礎(chǔ)，充分借鑒國(guó)際先

進(jìn)的ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理方法。其中，風(fēng)險(xiǎn)管理過(guò)程以國(guó)內(nèi)的供應(yīng)鏈管理、

信息安全風(fēng)險(xiǎn)管理類(lèi)標(biāo)準(zhǔn)為基礎(chǔ)，如ISO/IEC27005（GB/T31722）、GB/T24420

等；安全控制措施以國(guó)內(nèi)外供應(yīng)鏈相關(guān)安全措施為基礎(chǔ)，如GB/T22239、GB/T

31168、ISO/IEC27002、ISO/IEC27036、NISTSP800-161、NISTSP800-53。

3

二是支持多樣的ICT產(chǎn)品和服務(wù)供應(yīng)鏈。由于ICT產(chǎn)品和服務(wù)類(lèi)型多樣，軟

件、硬件、系統(tǒng)、服務(wù)的供應(yīng)鏈細(xì)節(jié)可能存在不同，因此本標(biāo)準(zhǔn)在編制中盡量考

慮到多種類(lèi)型產(chǎn)品和服務(wù)，從軟件、硬件、服務(wù)、數(shù)據(jù)、客戶(hù)幾個(gè)角度梳理供應(yīng)

鏈的安全風(fēng)險(xiǎn)，安全風(fēng)險(xiǎn)管理過(guò)程盡量采用通用、得到認(rèn)可的過(guò)程步驟，供應(yīng)鏈

安全控制措施則提供了一個(gè)控制措施集合，ICT采購(gòu)方或供應(yīng)商可根據(jù)應(yīng)用環(huán)境

和安全需求進(jìn)行剪裁。

三是考慮可操作性和實(shí)用性。為了確保標(biāo)準(zhǔn)的可操作性和實(shí)用性，標(biāo)準(zhǔn)編制

組廣泛吸收了在國(guó)內(nèi)信息通信技術(shù)產(chǎn)品和服務(wù)市場(chǎng)的主流軟件、硬件、服務(wù)廠商

作為標(biāo)準(zhǔn)編制組成員。

具體編制時(shí)采用兩種思路：一是ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程，基于GB/T

31722的信息安全風(fēng)險(xiǎn)管理框架，參考GB/T24420《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》和

NISTSP800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險(xiǎn)管理方法》進(jìn)行編制，列舉

了ICT供應(yīng)鏈的主要安全威脅和脆弱性，細(xì)化了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的步驟

和實(shí)施細(xì)則；二是ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制措施，參考GB/T22081《信息技術(shù)安

全技術(shù)信息安全管理實(shí)用規(guī)則》、NISTSP800-161、ISO/IEC22043《信息技

術(shù)開(kāi)放可信供應(yīng)商標(biāo)準(zhǔn)減少被惡意污染和偽冒的產(chǎn)品》及現(xiàn)有國(guó)家標(biāo)準(zhǔn)中供應(yīng)

鏈相關(guān)安全要求進(jìn)行編制，給出了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制措施集合，供ICT

采購(gòu)方或供應(yīng)方根據(jù)自身存在安全風(fēng)險(xiǎn)和組織特點(diǎn)篩選使用。

2.2主要內(nèi)容

《供應(yīng)鏈指南》給出了對(duì)信息通信技術(shù)產(chǎn)品和服務(wù)的供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)管

理的通用指南，包括信息通信技術(shù)供應(yīng)鏈的安全風(fēng)險(xiǎn)、風(fēng)險(xiǎn)管理過(guò)程和安全控制

措施。

ICT供應(yīng)鏈的安全目標(biāo)，包括完整性、保密性、可用性和可控性。

ICT供應(yīng)鏈的安全風(fēng)險(xiǎn)，從供應(yīng)鏈的威脅和脆弱性?xún)煞矫婷枋觥?/p>

ICT供應(yīng)鏈的安全風(fēng)險(xiǎn)管理過(guò)程，包括范疇確定、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、

風(fēng)險(xiǎn)監(jiān)督和檢查四個(gè)步驟。

ICT供應(yīng)鏈的安全控制措施

附錄1ICT供應(yīng)鏈的結(jié)構(gòu)和特點(diǎn)

附錄2ICT供應(yīng)鏈的范圍和供應(yīng)商類(lèi)型

三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

4

前期，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院與微軟公司聯(lián)合開(kāi)展了“加強(qiáng)ICT供應(yīng)鏈

信任”課題研究，該課題分析了ICT供應(yīng)鏈信任相關(guān)的國(guó)內(nèi)外法律政策、標(biāo)準(zhǔn)規(guī)

范、學(xué)術(shù)研究現(xiàn)狀，并對(duì)華為、微軟、波音、富士通、FireEye幾家公司的供應(yīng)

鏈管理實(shí)踐進(jìn)行了調(diào)研，還與美國(guó)馬里蘭大學(xué)供應(yīng)鏈管理中心SandyBoyson教

授進(jìn)行了交流合作。

在標(biāo)準(zhǔn)編制過(guò)程中，編制組廣泛吸收了國(guó)內(nèi)外軟件、硬件、服務(wù)的典型企業(yè)，

各家企業(yè)在ICT供應(yīng)鏈的安全風(fēng)險(xiǎn)、供應(yīng)鏈安全措施等方面貢獻(xiàn)了大量的企業(yè)實(shí)

踐內(nèi)容，為該標(biāo)準(zhǔn)的應(yīng)用打下了良好的基礎(chǔ)。此外，編制組還與美國(guó)NIST

SP800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險(xiǎn)管理方法》的作者JonBoyens進(jìn)行

了電話(huà)會(huì)議，對(duì)161標(biāo)準(zhǔn)進(jìn)行了深入的研討，為《供應(yīng)鏈指南》的編制提供了很

多思路。

四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)水平的

對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

信息安全標(biāo)準(zhǔn)已經(jīng)成為網(wǎng)絡(luò)空間國(guó)際競(jìng)