信息安全技術(shù) 軟件供應(yīng)鏈安全要求-編制說(shuō)明

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2022年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃：《信息安全

技術(shù)軟件供應(yīng)鏈安全要求》，國(guó)標(biāo)計(jì)劃號(hào)：20220164-T-469，標(biāo)準(zhǔn)由中國(guó)信息

安全測(cè)評(píng)中心負(fù)責(zé)起草，由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。

1.2主要起草單位和工作組成員

中國(guó)信息安全測(cè)評(píng)中心負(fù)責(zé)起草，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家計(jì)算機(jī)

網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、華為技術(shù)有限公司、中國(guó)軟件評(píng)測(cè)中心、諾基亞通

信系統(tǒng)技術(shù)（北京）有限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、深信服科

技股份有限公司、聯(lián)想（北京）有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、

國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院、國(guó)家信息技術(shù)安全研究中心、長(zhǎng)揚(yáng)科技

（北京）有限公司、深圳開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)

與認(rèn)證中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心、杭州安恒信

息技術(shù)股份有限公司、北京鴻騰智能科技有限公司、北京奇虎科技有限公司、北

京快手科技有限公司、國(guó)網(wǎng)區(qū)塊鏈科技（北京）有限公司、麒麟軟件有限公司、

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京分中心、上海三零衛(wèi)士信息安全有限

公司、北京大學(xué)、云從科技集團(tuán)股份有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限

公司、瀚高基礎(chǔ)軟件股份有限公司、北京威努特技術(shù)有限公司、昆侖數(shù)智科技有

限責(zé)任公司、杭州默安科技有限公司、中國(guó)信息通信研究院、中電長(zhǎng)城網(wǎng)際安全

技術(shù)研究院（北京）有限公司、北京安普諾信息技術(shù)有限公司、北京神州綠盟科

技有限公司、OPPO廣東移動(dòng)通信有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、

阿里云計(jì)算有限公司、北京中測(cè)安華科技有限公司、中國(guó)科學(xué)院信息工程研究所、

上海文鰩信息科技有限公司、蘇州棱鏡七彩信息科技有限公司、騰訊云計(jì)算（北

京）有限責(zé)任公司、新華三技術(shù)有限公司、螞蟻科技集團(tuán)福根有限公司、工業(yè)和

信息化部電子第五研究所、北京人大金倉(cāng)信息技術(shù)股份有限公司、上海大學(xué)、西

安郵電大學(xué)等單位共同參與了該標(biāo)準(zhǔn)的起草工作。

本標(biāo)準(zhǔn)主要起草人：李守鵬、王欣、王曉萌、王惠蒞、林星辰、吳潤(rùn)浦、陳

冬青、薛勇波、曾晉、沈蕾、董國(guó)偉、葉潤(rùn)國(guó)、李汝鑫、高金萍、鄧輝、常遠(yuǎn)、

楊慧婷、楊韜、馮明冉、楊劍、萬(wàn)振華、王振遠(yuǎn)、王晶、張亞京、梁偉、邱林海、

王頡、張大江、羅峋、張屹、李杺恬、落紅衛(wèi)、應(yīng)凌云、沈錫鏞、孟瑾、溫婷婷、

王紅亮、王春霞、王巖、李娜、王聰、李汪蔚、查文靜、李騰、宋桂香、李紅、

張剛、柴思躍、趙曉暉、申永波、白曉媛、董軍平、陳亮、徐永太、高慶、查海

平、萬(wàn)曉蘭、林飛、吳菊華、寧戈、彭晨、張勇等。

主要參編單位分工情況如表1所示。

表1任務(wù)分工

單位名稱(chēng)項(xiàng)目任務(wù)分工

牽頭負(fù)責(zé)標(biāo)準(zhǔn)項(xiàng)目，總

體負(fù)責(zé)標(biāo)準(zhǔn)框架結(jié)構(gòu)

和標(biāo)準(zhǔn)各章節(jié)內(nèi)容的

中國(guó)信息安全測(cè)評(píng)中心

研究和編制，并負(fù)責(zé)整

理匯總各參編單位意

見(jiàn)，形成標(biāo)準(zhǔn)文稿。

中國(guó)科學(xué)院信息工程研究所、聯(lián)想（北京）有限公

軟件供應(yīng)鏈模型研究

司、中國(guó)信息通信研究院、華為技術(shù)有限公司、深

及相關(guān)內(nèi)容編寫(xiě)

圳開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司等

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、深圳市騰訊計(jì)算機(jī)系

統(tǒng)有限公司、聯(lián)想（北京）有限公司、工信部電子

五所、中國(guó)軟件評(píng)測(cè)中心、華為技術(shù)有限公司、北

供方/需方軟件供應(yīng)鏈

京奇虎科技有限公司、網(wǎng)神信息技術(shù)（北京）股份

安全要求研究及相關(guān)

有限公司、深信服科技股份有限公司、北京大學(xué)、

內(nèi)容編寫(xiě)

北京鴻騰智能科技有限公司、阿里云計(jì)算有限公司、

諾基亞通信系統(tǒng)技術(shù)（北京）有限公司、國(guó)家計(jì)算

機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心等

中國(guó)科學(xué)院信息工程研究所、杭州默安科技有限公軟件供應(yīng)鏈安全威脅

司等研究

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心等軟件構(gòu)成圖譜研究

中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國(guó)家信息技術(shù)

安全研究中心、蘇州棱鏡七彩信息科技有限公司、

美的集團(tuán)股份有限公司、工信部電子五所、華為技標(biāo)準(zhǔn)試點(diǎn)應(yīng)用

術(shù)有限公司、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

心、北京安普諾信息技術(shù)有限公司

1.3主要工作過(guò)程

標(biāo)準(zhǔn)制定的主要工作過(guò)程如下：

（1）標(biāo)準(zhǔn)申報(bào)立項(xiàng)

2021年3月至2021年5月，編制團(tuán)隊(duì)對(duì)國(guó)內(nèi)外軟件供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)政

策現(xiàn)狀、軟件供應(yīng)鏈安全現(xiàn)狀及發(fā)展趨勢(shì)等內(nèi)容進(jìn)行調(diào)研分析，并組織60余家

參編單位召開(kāi)多次研討會(huì)，起草并多次修改，形成了適用于供方、需方、第三方

機(jī)構(gòu)的標(biāo)準(zhǔn)草案文件。按照信安標(biāo)委2021年國(guó)家標(biāo)準(zhǔn)項(xiàng)目申報(bào)要求提交了國(guó)家

標(biāo)準(zhǔn)制定項(xiàng)目立項(xiàng)申請(qǐng)。

（2）草案階段

2021年5月至8月，標(biāo)準(zhǔn)編制組在信安標(biāo)委WG7會(huì)議周匯報(bào)標(biāo)準(zhǔn)立項(xiàng)匯報(bào)

并通過(guò)，并根據(jù)專(zhuān)家意見(jiàn)組織研討，重點(diǎn)突出軟件供應(yīng)鏈中的“供應(yīng)鏈”特征，

繼續(xù)完善形成了包含3各環(huán)節(jié)7個(gè)過(guò)程的標(biāo)準(zhǔn)草案文件。根據(jù)《全國(guó)信息安全標(biāo)

準(zhǔn)化技術(shù)委員會(huì)關(guān)于2021年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》（信安字[2021]14

號(hào)）通知，本標(biāo)準(zhǔn)正式獲批為2021年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定項(xiàng)目。

2021年8月至11月，完成公開(kāi)征集標(biāo)準(zhǔn)參編單位，經(jīng)過(guò)遴選60余家相關(guān)

企事業(yè)單位加入標(biāo)準(zhǔn)編制組。召開(kāi)標(biāo)準(zhǔn)編制啟動(dòng)會(huì)、全體編制組研討會(huì)、重點(diǎn)參

編單位研討會(huì)，圍繞標(biāo)準(zhǔn)適用范圍不斷完善，形成了適用于供需兩方的標(biāo)準(zhǔn)草案

文件。

2021年11月至2022年1月，編制組參加全國(guó)信安標(biāo)委第二次會(huì)議周，在

WG7工作組匯報(bào)并與與會(huì)專(zhuān)家進(jìn)行研討。編制組根據(jù)與會(huì)專(zhuān)家意見(jiàn)召開(kāi)全體成

員研討會(huì)、重點(diǎn)參編單位研討會(huì)，根據(jù)標(biāo)準(zhǔn)周專(zhuān)家意見(jiàn)和參編單位意見(jiàn)，參考

ISO-27036、SSDF、SLSA等軟件供應(yīng)鏈安全實(shí)踐，細(xì)化軟件供應(yīng)鏈環(huán)節(jié)、過(guò)程

安全要求。

2022年1月至2022年4月，參加WG7組召開(kāi)的進(jìn)度評(píng)審會(huì)，根據(jù)評(píng)審會(huì)

專(zhuān)家意見(jiàn)就軟件供應(yīng)鏈適用對(duì)象、供應(yīng)鏈環(huán)節(jié)、過(guò)程及要求等級(jí)等內(nèi)容與多家參

編單位進(jìn)行研討，梳理完善標(biāo)準(zhǔn)框架及條款，形成當(dāng)前標(biāo)準(zhǔn)草案。

2022年5月至6月，參加標(biāo)準(zhǔn)推進(jìn)專(zhuān)家意見(jiàn)會(huì)，專(zhuān)家建議轉(zhuǎn)入征求意見(jiàn)階

段；6月8日，完成WG7工作組投票，工作組形成轉(zhuǎn)為征求意見(jiàn)稿的意見(jiàn)。

（3）征求意見(jiàn)稿階段

6月17日，參加征求意見(jiàn)稿專(zhuān)家審查會(huì)。根據(jù)專(zhuān)家及成員單位意見(jiàn)聚焦標(biāo)

準(zhǔn)重點(diǎn)需要解決的問(wèn)題，如“軟件安全”與“軟件供應(yīng)鏈安全”的關(guān)系、安全要

求分級(jí)的合理性等，編制組根據(jù)專(zhuān)家意見(jiàn)修改完善標(biāo)準(zhǔn)文本。

7月13日，參加征求意見(jiàn)稿專(zhuān)家審查會(huì)。與會(huì)專(zhuān)家一致同意通過(guò)對(duì)該項(xiàng)標(biāo)

準(zhǔn)的審查。編制組根據(jù)專(zhuān)家建議，補(bǔ)充完善標(biāo)準(zhǔn)文本、術(shù)語(yǔ)、持續(xù)供應(yīng)能力安全

要求等方面內(nèi)容，從供應(yīng)關(guān)系和供應(yīng)活動(dòng)角度提出安全要求。

9月22日，參加征求意見(jiàn)稿專(zhuān)家研討會(huì)。根據(jù)專(zhuān)家意見(jiàn)進(jìn)一步聚焦標(biāo)準(zhǔn)適

用范圍和約束對(duì)象，圍繞軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理，從需方視角對(duì)組織管理和供

應(yīng)活動(dòng)管理的安全要求，形成當(dāng)前標(biāo)準(zhǔn)征求意見(jiàn)稿。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題

2.1標(biāo)準(zhǔn)編制原則

（1）普適性原則

本標(biāo)準(zhǔn)充分立足我國(guó)軟件供應(yīng)鏈特點(diǎn)，結(jié)合軟件供應(yīng)鏈全球性特征，對(duì)軟件

供應(yīng)鏈中的供方和需方提出不同等級(jí)安全要求。

（2）合規(guī)性原則

本標(biāo)準(zhǔn)遵從軟件供應(yīng)鏈安全有關(guān)法律法規(guī)的規(guī)定，標(biāo)準(zhǔn)條款內(nèi)容符合我國(guó)法

律法規(guī)和相關(guān)政策要求。

（3）一致性原則

本標(biāo)準(zhǔn)與國(guó)內(nèi)外相關(guān)技術(shù)標(biāo)準(zhǔn)協(xié)調(diào)一致，與我國(guó)軟件供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)不

矛盾。

2.2確定主要內(nèi)容的依據(jù)

本標(biāo)準(zhǔn)旨在通過(guò)實(shí)現(xiàn)軟件組件可追溯、軟件供應(yīng)鏈管理活動(dòng)和技術(shù)環(huán)節(jié)可審

計(jì)、主要軟件及軟件供應(yīng)關(guān)系可替代等，防范軟件供應(yīng)鏈中的安全漏洞利用、人

為風(fēng)險(xiǎn)、以及經(jīng)濟(jì)、政策等導(dǎo)致的停服斷供風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)主要依據(jù)國(guó)內(nèi)外軟件供

應(yīng)鏈安全現(xiàn)狀及相關(guān)國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)，提出軟件供應(yīng)鏈安全要求，具體如下：

（1）軟件供應(yīng)鏈安全事件頻發(fā)，擴(kuò)大網(wǎng)絡(luò)安全攻擊面，為傳統(tǒng)軟件安全帶

來(lái)新挑戰(zhàn)。

軟件供應(yīng)鏈攻擊事件頻繁發(fā)生，在數(shù)量及攻擊復(fù)雜度上都呈現(xiàn)上升趨勢(shì)，為

攻擊者提供了新的攻擊思路，擴(kuò)大了網(wǎng)絡(luò)安全的攻擊面，造成的危害更易擴(kuò)散，

使傳統(tǒng)軟件安全問(wèn)題更加顯著。

（2）我國(guó)需構(gòu)建軟件供應(yīng)鏈安全標(biāo)準(zhǔn)體系，從國(guó)家層面推動(dòng)標(biāo)準(zhǔn)化工作，

防范軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。

國(guó)內(nèi)現(xiàn)有的ICT相關(guān)標(biāo)準(zhǔn)尚未針對(duì)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的安全事件、安全風(fēng)

險(xiǎn)形成具有針對(duì)性的防范措施和規(guī)范要求，鑒于我國(guó)軟件供應(yīng)鏈“安全左移”需

求迅速增長(zhǎng)、軟件供應(yīng)鏈復(fù)雜性不斷增加、軟件供應(yīng)鏈全球化發(fā)展等特征日益凸

顯等現(xiàn)狀，中國(guó)信息安全測(cè)評(píng)中心在信安標(biāo)委指導(dǎo)下開(kāi)展軟件供應(yīng)鏈安全要求標(biāo)

準(zhǔn)制定工作。

（3）國(guó)外軟件供應(yīng)鏈安全風(fēng)險(xiǎn)防范及處置機(jī)制相對(duì)完善，對(duì)我國(guó)具有較好

的借鑒意義。

國(guó)外通過(guò)機(jī)制建設(shè)、標(biāo)準(zhǔn)制定、產(chǎn)品認(rèn)證等手段，形成了比較成熟的ICT供

應(yīng)鏈和軟件供應(yīng)鏈風(fēng)險(xiǎn)管理制度體系，在監(jiān)管其國(guó)內(nèi)相關(guān)領(lǐng)域的同時(shí)也起到了引

領(lǐng)國(guó)際治理制度建設(shè)的作用，對(duì)我國(guó)標(biāo)準(zhǔn)體系建設(shè)具有較好借鑒意義。

（4）國(guó)內(nèi)外主要相關(guān)標(biāo)準(zhǔn)文件。

GB/T36637－2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南

GB/T38674－2020信息安全技術(shù)應(yīng)用軟件安全編程指南

GB/T33770.1－2017信息技術(shù)服務(wù)外包第1部分：服務(wù)提供方通用要求

ISO28001Securitymanagementsystemsforthesupplychain–Best

practicesforimplementingsupplychainsecurity,assessmentsandplans

–Requirementsandguidance

ISO/IEC27036－2Informationtechnology–Securitytechniques–

Informationsecurityforsupplierrelationships–Part2:Requirements

ISO/IEC27036－3Informationtechnology–Securitytechniques–

Informationsecurityforsupplierrelationships–Part3:Guidelinesfor

informationandcommunicationtechnologysupplychainsecurity

NIST800－161SupplyChainRiskManagementPracticesforFederal

InformationSystemsandOrganizations

2.3解決的主要問(wèn)題

本文件解決的主要問(wèn)題是識(shí)別和防范供應(yīng)關(guān)系和供應(yīng)活動(dòng)中面臨的安全風(fēng)

險(xiǎn)（見(jiàn)附錄A），提升軟件供應(yīng)鏈安全保障能力，包括：

（1）提升軟件產(chǎn)品或服務(wù)中斷供應(yīng)等風(fēng)險(xiǎn)管理能力：識(shí)別和防范供應(yīng)關(guān)系

建立及供應(yīng)活動(dòng)中軟件產(chǎn)品和服務(wù)供應(yīng)中斷的管理安全風(fēng)險(xiǎn)，提升軟件供應(yīng)鏈的

韌性，當(dāng)軟件供應(yīng)鏈中斷或部分失效時(shí)，能夠保障業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行。

（2）提升供應(yīng)活動(dòng)引入的技術(shù)安全風(fēng)險(xiǎn)管理能力：識(shí)別和防范由于供應(yīng)關(guān)

系或供應(yīng)活動(dòng)變化導(dǎo)致的軟件漏洞、后門(mén)、篡改、偽造等技術(shù)安全風(fēng)險(xiǎn)，提升軟

件供應(yīng)鏈的可追溯性、安全性，一旦發(fā)現(xiàn)上述風(fēng)險(xiǎn)，可以快速有效追溯和修復(fù)。

（3）提升軟件供應(yīng)鏈數(shù)據(jù)安全風(fēng)險(xiǎn)管理能力：識(shí)別和防范供應(yīng)關(guān)系和供應(yīng)

活動(dòng)中存在的數(shù)據(jù)泄露、數(shù)據(jù)篡改、非法訪問(wèn)等安全風(fēng)險(xiǎn)，提升軟件供應(yīng)鏈數(shù)據(jù)

安全保護(hù)能力，防止軟件供應(yīng)鏈的數(shù)據(jù)泄露給未授權(quán)者。

三、主要試驗(yàn)情況分析

試點(diǎn)工作確定5家供方單位、4家需方單位以及2家第三方機(jī)構(gòu)，目前已完

成8個(gè)信息系統(tǒng)軟件供應(yīng)鏈安全要求的符合性和可操作性驗(yàn)證工作。標(biāo)準(zhǔn)試點(diǎn)工

作能有效識(shí)別軟件供應(yīng)鏈安全問(wèn)題并提出對(duì)策建議，有助于提升試點(diǎn)對(duì)象軟件供

應(yīng)鏈安全能力。主要體現(xiàn)在以下方面：

1、規(guī)范軟件供應(yīng)鏈管理安全機(jī)制。通過(guò)試點(diǎn)發(fā)現(xiàn)試點(diǎn)對(duì)象供應(yīng)鏈管理方面

機(jī)構(gòu)制度、人員能力、知識(shí)產(chǎn)權(quán)和供應(yīng)商管理方面的薄弱環(huán)節(jié)，指導(dǎo)試點(diǎn)單位構(gòu)

建并完善軟件供應(yīng)鏈安全管理機(jī)制，有效提升軟件供應(yīng)鏈組織管理管理方面的風(fēng)

險(xiǎn)能力。

2、提升軟件供應(yīng)鏈技術(shù)安全保障能力。通過(guò)試點(diǎn)識(shí)別軟件供應(yīng)鏈資產(chǎn)不清

晰、軟件供應(yīng)鏈各供應(yīng)活動(dòng)風(fēng)險(xiǎn)識(shí)別和控制措施不完善等問(wèn)題，根據(jù)軟件采購(gòu)、

軟件交付、軟件運(yùn)維、軟件廢止等安全要求，從內(nèi)部、外部2方面提升了軟件供

應(yīng)鏈源頭、過(guò)程、末端中的漏洞、后門(mén)、惡意篡改、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)控制和

處置能力，提升試點(diǎn)對(duì)象軟件供應(yīng)活動(dòng)引入安全風(fēng)險(xiǎn)的管理能力。

3、完善軟件供應(yīng)鏈安全需求，評(píng)估軟件供應(yīng)鏈安全能力。通過(guò)對(duì)符合性和

可操作性驗(yàn)證分析，指導(dǎo)需方根據(jù)業(yè)務(wù)場(chǎng)景需求確定不同的安全需求，并為供方

形成相應(yīng)的安全能力提供參考；同時(shí)，通過(guò)試點(diǎn)對(duì)象與標(biāo)準(zhǔn)不同安全要求條款的

符合性分析可實(shí)現(xiàn)供需雙方軟件供應(yīng)鏈安全能力評(píng)估，并引導(dǎo)驅(qū)動(dòng)供需雙方逐步

提升軟件供應(yīng)鏈安全保障能力。

四、知識(shí)產(chǎn)權(quán)情況說(shuō)明

本標(biāo)準(zhǔn)不涉及專(zhuān)利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

本標(biāo)準(zhǔn)的制定，將填補(bǔ)我國(guó)在軟件供應(yīng)鏈安全方面國(guó)家標(biāo)準(zhǔn)領(lǐng)域的空白，完

善我信息技術(shù)領(lǐng)域的標(biāo)準(zhǔn)規(guī)范體系。本標(biāo)準(zhǔn)通過(guò)對(duì)軟件供應(yīng)鏈所涉及的供應(yīng)關(guān)系

和供應(yīng)活動(dòng)提出相關(guān)安全要求，能夠從標(biāo)準(zhǔn)層指導(dǎo)軟件供應(yīng)鏈中供方、需方開(kāi)展

軟件供應(yīng)鏈管理活動(dòng)，也可為第三方機(jī)構(gòu)開(kāi)展軟件供應(yīng)鏈安全測(cè)試和評(píng)估提供依

據(jù)，以及為監(jiān)管方提供參考，同時(shí)為軟件安全提供基礎(chǔ)保障，對(duì)提高軟件供應(yīng)鏈

安全性、提高我國(guó)整體網(wǎng)絡(luò)安全保障水平具有重大意義。

六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況

本標(biāo)準(zhǔn)為自主制定，目前并未有專(zhuān)門(mén)針對(duì)軟件供應(yīng)鏈安全要求的標(biāo)準(zhǔn)。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

目前我國(guó)現(xiàn)有與軟件供應(yīng)鏈安全相關(guān)法律有《中華人民共和國(guó)國(guó)家安全法》

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)

設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》。

2020年《信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》已發(fā)布征求意見(jiàn)稿，規(guī)定了信息

技術(shù)產(chǎn)品供應(yīng)方和需求方應(yīng)滿(mǎn)足的供應(yīng)鏈基本安全要求。2020年，由電信終端

產(chǎn)業(yè)協(xié)會(huì)發(fā)布了《網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求》行業(yè)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)產(chǎn)品在管

理制度、組織機(jī)構(gòu)和人員、信息系統(tǒng)等以及供應(yīng)鏈環(huán)節(jié)提出了不同等級(jí)的安全要

求。

2018年，我國(guó)出臺(tái)了供應(yīng)鏈安全管理國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)ICT供應(yīng)鏈

安全風(fēng)險(xiǎn)管理指南》，該標(biāo)準(zhǔn)采用風(fēng)險(xiǎn)評(píng)估的思路，從產(chǎn)品全生命周期的角度開(kāi)

展風(fēng)險(xiǎn)分析及管理，以實(shí)現(xiàn)供應(yīng)鏈的完整性、保密性、可用性和可控性安全目標(biāo)。

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)不存在沖突與矛盾。

八、主要意見(jiàn)處理經(jīng)過(guò)和依據(jù)

無(wú)

九、標(biāo)準(zhǔn)性質(zhì)的建議

建議本標(biāo)準(zhǔn)為推薦性國(guó)家標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

在正式執(zhí)行本標(biāo)準(zhǔn)前，需要對(duì)標(biāo)準(zhǔn)中的條款進(jìn)行宣貫，以在利益相關(guān)方之間

達(dá)成對(duì)標(biāo)準(zhǔn)條款理解上的一致性。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

無(wú)。

十二、其它應(yīng)予說(shuō)明的事項(xiàng)

無(wú)。

國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)軟件供應(yīng)鏈全要求》編制工作組

2022年9月28日

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2022年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃：《信息安全

技術(shù)軟件供應(yīng)鏈安全要求》，國(guó)標(biāo)計(jì)劃號(hào)：20220164-T-469，標(biāo)準(zhǔn)由中國(guó)信息

安全測(cè)評(píng)中心負(fù)責(zé)起草，由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。

1.2主要起草單位和工作組成員

中國(guó)信息安全測(cè)評(píng)中心負(fù)責(zé)起草，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家計(jì)算機(jī)

網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、華為技術(shù)有限公司、中國(guó)軟件評(píng)測(cè)中心、諾基亞通

信系統(tǒng)技術(shù)（北京）有限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、深信服科

技股份有限公司、聯(lián)想（北京）有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、

國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院、國(guó)家信息技術(shù)安全研究中心、長(zhǎng)揚(yáng)科技

（北京）有限公司、深圳開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)

與認(rèn)證中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心、杭州安恒信

息技術(shù)股份有限公司、北京鴻騰智能科技有限公司、北京奇虎科技有限公司、北

京快手科技有限公司、國(guó)網(wǎng)區(qū)塊鏈科技（北京）有限公司、麒麟軟件有限公司、

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京分中心、上海三零衛(wèi)士信息安全有限

公司、北京大學(xué)、云從科技集團(tuán)股份有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限

公司、瀚高基礎(chǔ)軟件股份有限公司、北京威努特技術(shù)有限公司、昆侖數(shù)智科技有

限責(zé)任公司、杭州默安科技有限公司、中國(guó)信息通信研究院、中電長(zhǎng)城網(wǎng)際安全

技術(shù)研究院（北京）有限公司、北京安普諾信息技術(shù)有限公司、北京神州綠盟科

技有限公司、OPPO廣東移動(dòng)通信有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、

阿里云計(jì)算有限公司、北京中測(cè)安華科技有限公司、中國(guó)科學(xué)院信息工程研究所、

上海文鰩信息科技有限公司、蘇州棱鏡七彩信息科技有限公司、騰訊云計(jì)算（北

京）有限責(zé)任公司、新華三技術(shù)有限公司、螞蟻科技集團(tuán)福根有限公司、工業(yè)和

信息化部電子第五研究所、北京人大金倉(cāng)信息技術(shù)股份有限公司、上海大學(xué)、西

安郵電大學(xué)等單位共同參與了該標(biāo)準(zhǔn)的起草工作。

本標(biāo)準(zhǔn)主要起草人：李守鵬、王欣、王曉萌、王惠蒞、林星辰、吳潤(rùn)浦、陳

冬青、薛勇波、曾晉、沈蕾、董國(guó)偉、葉潤(rùn)國(guó)、李汝鑫、高金萍、鄧輝、常遠(yuǎn)、

楊慧婷、楊韜、馮明冉、楊劍、萬(wàn)振華、王振遠(yuǎn)、王晶、張亞京、梁偉、邱林海、

王頡、張大江、羅峋、張屹、李杺恬、落紅衛(wèi)、應(yīng)凌云、沈錫鏞、孟瑾、溫婷婷、

王紅亮、王春霞、王巖、李娜、王聰、李汪蔚、查文靜、李騰、宋桂香、李紅、

張剛、柴思躍、趙曉暉、申永波、白曉媛、董軍平、陳亮、徐永太、高慶、查海

平、萬(wàn)曉蘭、林飛、吳菊華、寧戈、彭晨、張勇等。

主要參編單位分工情況如表1所示。

表1任務(wù)分工

單位名稱(chēng)項(xiàng)目任務(wù)分工

牽頭負(fù)責(zé)標(biāo)準(zhǔn)項(xiàng)目，總

體負(fù)責(zé)標(biāo)準(zhǔn)框架結(jié)構(gòu)

和標(biāo)準(zhǔn)各章節(jié)內(nèi)容的

中國(guó)信息安全測(cè)評(píng)中心

研究和編制，并負(fù)責(zé)整

理匯總各參編單位意

見(jiàn)，形成標(biāo)準(zhǔn)文稿。

中國(guó)科學(xué)院信息工程研究所、聯(lián)想（北京）有限公

軟件供應(yīng)鏈模型研究

司、中國(guó)信息通信研究院、華為技術(shù)有限公司、深

及相關(guān)內(nèi)容編寫(xiě)

圳開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司等

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、深圳市騰訊計(jì)算機(jī)系

統(tǒng)有限公司、聯(lián)想（北京）有限公司、工信部電子

五所、中國(guó)軟件評(píng)測(cè)中心、華為技術(shù)有限公司、北

供方/需方軟件供應(yīng)鏈

京奇虎科技有限公司、網(wǎng)神信息技術(shù)（北京）股份

安全要求研究及相關(guān)

有限公司、深信服科技股份有限公司、北京大學(xué)、

內(nèi)容編寫(xiě)

北京鴻騰智能科技有限公司、阿里云計(jì)算有限公司、

諾基亞通信系統(tǒng)技術(shù)（北京）有限公司、國(guó)家計(jì)算

機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心等

中國(guó)科學(xué)院信息工程研究所、杭州默安科技有限公軟件供應(yīng)鏈安全威脅

司等研究

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心等軟件構(gòu)成圖譜研究

中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國(guó)家信息技術(shù)

安全研究中心、蘇州棱鏡七彩信息科技有限公司、

美的集團(tuán)股份有限公司、工信部電子五所、華為技標(biāo)準(zhǔn)試點(diǎn)應(yīng)用

術(shù)有限公司、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

心、北京安普諾信息技術(shù)有限公司

1.3主要工作過(guò)程

標(biāo)準(zhǔn)制定的主要工作過(guò)程如下：

（1）標(biāo)準(zhǔn)申報(bào)立項(xiàng)

2021年3月至2021年5月，編制團(tuán)隊(duì)對(duì)國(guó)內(nèi)外軟件供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)政

策現(xiàn)狀、軟件供應(yīng)鏈安全現(xiàn)狀及發(fā)展趨勢(shì)等內(nèi)容進(jìn)行調(diào)研分析，并組織60余家

參編單位召開(kāi)多次研討會(huì)，起草并多次修改，形成了適用于供方、需方、第三方

機(jī)構(gòu)的標(biāo)準(zhǔn)草案文件。按照信安標(biāo)委2021年國(guó)家標(biāo)準(zhǔn)項(xiàng)目申報(bào)要求提交了國(guó)家

標(biāo)準(zhǔn)制定項(xiàng)目立項(xiàng)申請(qǐng)。

（2）草案階段

2021年5月至8月，標(biāo)準(zhǔn)編制組在信安標(biāo)委WG7會(huì)議周匯報(bào)標(biāo)準(zhǔn)立項(xiàng)匯報(bào)

并通過(guò)，并根據(jù)專(zhuān)家意見(jiàn)組織研討，重點(diǎn)突出軟件供應(yīng)鏈中的“供應(yīng)鏈”特征，

繼續(xù)完善形成了包含3各環(huán)節(jié)7個(gè)過(guò)程的標(biāo)準(zhǔn)草案文件。根據(jù)《全國(guó)信息安全標(biāo)

準(zhǔn)化技術(shù)委員會(huì)關(guān)于2021年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》（信安字[2021]14

號(hào)）通知，本標(biāo)準(zhǔn)正式獲批為2021年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定項(xiàng)目。

2021年8月至11月，完成公開(kāi)征集標(biāo)準(zhǔn)參編單位，經(jīng)過(guò)遴選60余家相關(guān)

企事業(yè)單位加入標(biāo)準(zhǔn)編制組。召開(kāi)標(biāo)準(zhǔn)編制啟動(dòng)會(huì)、全體編制組研討會(huì)、重點(diǎn)參

編單位研討會(huì)，圍繞標(biāo)準(zhǔn)適用范圍不斷完善，形成了適用于供需兩方的標(biāo)準(zhǔn)草案

文件。

2021年11月至2022年1月，編制組參加全國(guó)信安標(biāo)委第二次會(huì)議周，在

WG7工作組匯報(bào)并與與會(huì)專(zhuān)家進(jìn)行研討。編制組根據(jù)與會(huì)專(zhuān)家意見(jiàn)召開(kāi)全體成

員研討會(huì)、重點(diǎn)參編單位研討會(huì)，根據(jù)標(biāo)準(zhǔn)周專(zhuān)家意見(jiàn)和參編單位意見(jiàn)，參考

ISO-27036、SSDF、SLSA等軟件供應(yīng)鏈安全實(shí)踐，細(xì)化軟件供應(yīng)鏈環(huán)節(jié)、過(guò)程

安全要求。

2022年1月至2022年4月，參加WG7組召開(kāi)的進(jìn)度評(píng)審會(huì)，根據(jù)評(píng)審會(huì)

專(zhuān)家意見(jiàn)就軟件供應(yīng)鏈適用對(duì)象、供應(yīng)鏈環(huán)節(jié)、過(guò)程及要求等級(jí)等內(nèi)容與多家參

編單位進(jìn)行研討，梳理完善標(biāo)準(zhǔn)框架及條款，形成當(dāng)前標(biāo)準(zhǔn)草案。

2022年5月至6月，參加標(biāo)準(zhǔn)推進(jìn)專(zhuān)家意見(jiàn)會(huì)，專(zhuān)家建議轉(zhuǎn)入征求意見(jiàn)階

段；6月8日，完成WG7工作組投票，工作組形成轉(zhuǎn)為征求意見(jiàn)稿的意見(jiàn)。

（3）征求意見(jiàn)稿階段

6月17日，參加征求意見(jiàn)稿專(zhuān)家審查會(huì)。根據(jù)專(zhuān)家及成員單位意見(jiàn)聚焦標(biāo)

準(zhǔn)重點(diǎn)需要解決的問(wèn)題，如“軟件安全”與“軟件供應(yīng)鏈安全”的關(guān)系、安全要

求分級(jí)的合理性等，編制組根據(jù)專(zhuān)家意見(jiàn)修改完善標(biāo)準(zhǔn)文本。

7月13日，參加征求意見(jiàn)稿專(zhuān)家審查會(huì)。與會(huì)專(zhuān)家一致同意通過(guò)對(duì)該項(xiàng)標(biāo)

準(zhǔn)的審查。編制組根據(jù)專(zhuān)家建議，補(bǔ)充完善標(biāo)準(zhǔn)文本、術(shù)語(yǔ)、持續(xù)供應(yīng)能力安全

要求等方面內(nèi)容，從供應(yīng)關(guān)系和供應(yīng)活動(dòng)角度提出安全要求。

9月22日，參加征求意見(jiàn)稿專(zhuān)家研討會(huì)。根據(jù)專(zhuān)家意見(jiàn)進(jìn)一步聚焦標(biāo)準(zhǔn)適

用范圍和約束對(duì)象，圍繞軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理，從需方視角對(duì)組織管理和供

應(yīng)活動(dòng)管理的安全要求，形成當(dāng)前標(biāo)準(zhǔn)征求意見(jiàn)稿。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題

2.1標(biāo)準(zhǔn)編制原則

（1）普適性原則

本標(biāo)準(zhǔn)充分立足我國(guó)軟件供