TCSAC 004-2024 軟件供應(yīng)鏈安全要求測評方法

ICS35.240.01CCSL78

T/CSAC中華人民共和國 團(tuán)體標(biāo)準(zhǔn)T/CSAC 軟件供應(yīng)鏈安全要求測評方法Testingandevaluatingmethodforsoftwaresupplychainsecurityrequirements2024-7-31發(fā)布 2024-7-31實(shí)施中國網(wǎng)絡(luò)空間安全協(xié)會??發(fā)布T/CSAC 004T/CSAC 004—2024PAGE\*ROMANPAGE\*ROMANII目 次前 言 II范圍 1規(guī)范性引用文件 1術(shù)語和定義 1概述 2測評指標(biāo) 2測評對象 2測評方法 2測評結(jié)果 2測評流程 2測評結(jié)論 2需方軟件供應(yīng)鏈安全要求測評方法 2組織管理 3機(jī)構(gòu)管理 3制度管理 3人員管理 5供應(yīng)商管理 6知識產(chǎn)權(quán)管理 7供應(yīng)活動管理 8基本流程 8軟件采購 8軟件獲取 10軟件運(yùn)維 12軟件廢止 14供方軟件供應(yīng)鏈安全要求測評方法 15組織管理 15機(jī)構(gòu)管理 15制度管理 16人員管理 17知識產(chǎn)權(quán)管理 18供應(yīng)活動管理 19基本流程 19軟件開發(fā) 19軟件交付 22軟件運(yùn)維 25軟件廢止 26參 考 文 獻(xiàn) 28前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國網(wǎng)絡(luò)空間安全協(xié)會提出。本文件由中國網(wǎng)絡(luò)空間安全協(xié)會歸口。（杭州T/CSAC 004T/CSAC 004—2024PAGEPAGE10軟件供應(yīng)鏈安全要求測評方法范圍本文件確定了供需雙方組織管理和供應(yīng)活動管理安全要求的測評指標(biāo)、測評對象和測評流程。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T25069—2022 信息安全技術(shù) 術(shù)語GB/T43698—2024 網(wǎng)絡(luò)安全技術(shù) 軟件供應(yīng)鏈安全要求術(shù)語和定義GB/T25069—2022和GB/T43698—2024中界定的以及下列術(shù)語和定義適用于本文件。供應(yīng)關(guān)系 supplierrelation需方和供方之間為開展業(yè)務(wù)、提供軟件產(chǎn)品而建立的協(xié)議、合同等契約關(guān)系。注：在供應(yīng)鏈中，上游的需方同時也是下游的供方。[來源：GB/T43698-2024,3.5]供應(yīng)活動 supplyactivity[來源：GB/T43698-2024,3.6]軟件供應(yīng)鏈 softwaresupplychain[來源：GB/T43698-2024,3.7]軟件供應(yīng)鏈安全圖譜 softwaresupplychainsecuritygraph軟件產(chǎn)品信息、軟件物料清單、安全信息等內(nèi)容及其關(guān)聯(lián)關(guān)系的描述和表示。注：一般以文本形式存儲，支持通過知識圖譜方式展示。[來源：GB/T43698-2024,3.9]概述測評指標(biāo)GB/T43698-2024中供需雙方組織管理和供應(yīng)活動管理的每條安全要求。測評對象測評指標(biāo)涉及的人員、機(jī)構(gòu)、制度、文件、軟件產(chǎn)品等。測評方法測評方法主要包括以下三種：訪談：測評人員通過引導(dǎo)軟件供應(yīng)鏈安全保護(hù)能力測評相關(guān)人員進(jìn)行有目的的交流，幫助測評人員理解、澄清或取得證據(jù)，從而判定是否滿足指標(biāo)要求；核查：測評人員通過對測評對象，如制度、文件、軟件產(chǎn)品等進(jìn)行觀察、查驗(yàn)和分析、幫助測評人員理解、澄清或取得證據(jù)，從而判定是否滿足指標(biāo)要求；檢測：測評人員使用完整性校驗(yàn)、訪問控制分析、源代碼安全缺陷檢測、二進(jìn)制代碼漏洞分析測評結(jié)果測評結(jié)果包括：完全符合：通過對測評對象的訪談、核查或檢測，滿足所有預(yù)期結(jié)果；部分符合：通過對測評對象的訪談、核查或檢測，滿足部分預(yù)期結(jié)果；不符合：通過對測評對象的訪談、核查或檢測，不滿足任何預(yù)期結(jié)果；不涉及：與測評指標(biāo)的所有內(nèi)容不相關(guān)。測評流程采用測評方法對測評對象實(shí)施訪談、核查或檢測并給出測評結(jié)果的過程。測評結(jié)論參考GB/T43698-2024附錄D對軟件供應(yīng)鏈安全圖譜級別的劃分，匯總測評結(jié)果給出如下測評結(jié)論：軟件供應(yīng)鏈安全保障能力達(dá)到基礎(chǔ)級：組織管理和供應(yīng)活動安全要求完全符合及部分符合項(xiàng)數(shù)不少于測評總項(xiàng)數(shù)的80%，軟件供應(yīng)鏈安全圖譜符合基礎(chǔ)級圖譜要求；軟件供應(yīng)鏈安全保障能力達(dá)到通用級：組織管理和供應(yīng)活動安全要求完全符合及部分符合項(xiàng)數(shù)不少于測評總項(xiàng)數(shù)的80%，軟件供應(yīng)鏈安全圖譜符合通用級要求；軟件供應(yīng)鏈安全保障能力達(dá)到增強(qiáng)級：組織管理和供應(yīng)活動安全要求完全符合及部分符合項(xiàng)數(shù)不少于測評總項(xiàng)數(shù)的80%，軟件供應(yīng)鏈安全圖譜符合增強(qiáng)級要求。需方軟件供應(yīng)鏈安全要求測評方法組織管理機(jī)構(gòu)管理a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)明確軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)或人員及其職責(zé)范圍，提供保障軟件供應(yīng)鏈安全所需的資源（如有關(guān)資金、場地、人力等），并在預(yù)算管理過程中予以重點(diǎn)考慮。測評流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度以及表單等文件；預(yù)期結(jié)果：具有軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)、人員和職責(zé)分工以及資金支持。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜，定期（至少每年一次）開展軟件供應(yīng)鏈安測評流程：訪談信息/網(wǎng)絡(luò)安全主管，核查安全檢測報(bào)告，檢測軟件供應(yīng)鏈安全圖譜。預(yù)期結(jié)果：開展軟件供應(yīng)鏈安全檢測、風(fēng)險評估等軟件供應(yīng)鏈安全風(fēng)險管理工作不少于1次；具有軟件成分分析、源代碼和二進(jìn)制代碼安全漏洞分析等至少一項(xiàng)安全檢測或風(fēng)險評估報(bào)告；至少具有軟件資產(chǎn)清單、軟件物料清單或軟件供應(yīng)鏈安全圖譜中的一項(xiàng)。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)及時制定、修訂、宣貫、執(zhí)行各項(xiàng)軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制。測評流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度文件和執(zhí)行情況。預(yù)期結(jié)果：具有軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制，并有宣貫記錄；具有執(zhí)行和修訂情況的記錄。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于重要或核心業(yè)務(wù)場景，宜設(shè)立專職軟件供應(yīng)鏈管理機(jī)構(gòu)開展軟件供應(yīng)鏈安全管理工作。測評流程：訪談信息/網(wǎng)絡(luò)安全主管、核查管理制度文件。預(yù)期結(jié)果：設(shè)立專職軟件供應(yīng)鏈管理機(jī)構(gòu)；對組織機(jī)構(gòu)和人員有明確的職責(zé)劃分。制度管理a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略（可作為單獨(dú)的文件，也可作為相關(guān)文件中的一部分），至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別處置、監(jiān)督檢查等內(nèi)容。測評流程：核查管理制度文件。預(yù)期結(jié)果：制度中具有軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別處置、監(jiān)督檢查等內(nèi)容。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險持續(xù)監(jiān)測、風(fēng)險評估和事件響應(yīng)制度，明確不同等級安全事件的報(bào)告、處置、響應(yīng)的流程和機(jī)制，規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)等要求。測評流程：核查管理制度類文件。預(yù)期結(jié)果：具有不同等級安全事件的報(bào)告、處置、響應(yīng)的流程和機(jī)制；具有安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)等內(nèi)容。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)制定軟件采購、獲取、運(yùn)維、廢止等供應(yīng)活動安全管理制度，例如安全開發(fā)、交付部署和驗(yàn)收、故障處理和維護(hù)升級等管理制度、規(guī)程或機(jī)制。測評流程：核查管理制度文件。預(yù)期結(jié)果：具有軟件采購、獲取、運(yùn)維、廢止等供應(yīng)活動中的相關(guān)安全要求。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度，例如人員權(quán)限、能力、資質(zhì)、（）應(yīng)明確并開展背景審查工作的要求。測評流程：核查人員管理制度文件。預(yù)期結(jié)果：具有人員權(quán)限、技術(shù)能力、專業(yè)資質(zhì)、安全背景、技能培訓(xùn)等要求；具有對采購、安全測試、配置管理、漏洞管理等人員背景審查的要求。e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)制定供應(yīng)商管理制度，包括但不限于供應(yīng)商資質(zhì)審核、供應(yīng)商分類分級、供應(yīng)商不良行為處理等。測評流程：核查管理制度文件。預(yù)期結(jié)果：具有供應(yīng)商資質(zhì)審核、供應(yīng)商分類分級、供應(yīng)商不良行為處理等內(nèi)容。f本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)制定知識產(chǎn)權(quán)管理制度，包括但不限于軟件授權(quán)證書、專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。測評流程：核查管理制度文件。預(yù)期結(jié)果：具有對專利、軟件著作權(quán)、許可協(xié)議等制度內(nèi)容。人員管理a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)明確人員需具備的軟件供應(yīng)鏈實(shí)體要素的識別和安全分析能力，如軟件資產(chǎn)識別分析、軟件漏洞挖掘、后門檢測、訪問控制管理、完整性保護(hù)等。測評流程：核查管理制度文件和記錄表單類文檔。預(yù)期結(jié)果：具有軟件資產(chǎn)識別分析、軟件漏洞挖掘、后門檢測、訪問控制管理、完整性保護(hù)等至少一項(xiàng)能力要求；具有軟件供應(yīng)鏈實(shí)體要素的識別和安全分析能力的考核記錄。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)劃分人員的職責(zé)定位、權(quán)限級別，采用最小授權(quán)機(jī)制并建立操作規(guī)范，創(chuàng)建操作日志。測評流程：核查管理制度文件和記錄表單類文檔。預(yù)期結(jié)果：劃分了軟件供應(yīng)鏈安全管理人員職責(zé)分工、權(quán)限級別；根據(jù)工作任務(wù)分配了最小權(quán)限；具有人員操作日志或記錄。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)定期（至少每年一次）開展軟件供應(yīng)鏈安全和保密培訓(xùn)，培訓(xùn)內(nèi)容包括但不限軟件供應(yīng)鏈實(shí)體要素的識別和安全分析能力涉及的內(nèi)容。測評流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度文件和記錄表單類文檔。預(yù)期結(jié)果：開展了保密培訓(xùn)，具有培訓(xùn)記錄，并記錄了培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等描述；培訓(xùn)內(nèi)容包含軟件供應(yīng)鏈實(shí)體要素識別或安全分析能力中至少一項(xiàng)。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)建立并執(zhí)行離職離崗人員賬號、權(quán)限、材料的交接和清理機(jī)制和規(guī)程。測評流程：核查管理制度文件、記錄表單類文檔，檢測賬號權(quán)限。預(yù)期結(jié)果：具有離職人員賬號、權(quán)限、材料的交接和清理機(jī)制和規(guī)程；具有離職離崗人員停止其賬號及訪問權(quán)限、交還材料等記錄；離職人員賬號權(quán)限已不可用。e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于核心業(yè)務(wù)場景，宜配置軟件供應(yīng)鏈安全保障團(tuán)隊(duì)，并根據(jù)需要開展相關(guān)人員的背景調(diào)查。測評流程：訪談信息/網(wǎng)絡(luò)安全主管，核查記錄表單類文檔。預(yù)期結(jié)果：具有軟件供應(yīng)鏈安全保障團(tuán)隊(duì)；具有開展人員背景調(diào)查的內(nèi)容、結(jié)果的記錄。f本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于核心業(yè)務(wù)場景，宜具備防范各類軟件供應(yīng)鏈安全風(fēng)險能力，例如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。測評流程：訪談信息/網(wǎng)絡(luò)安全主管。供應(yīng)商管理a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)分類分級建立合格的供應(yīng)目錄，對供應(yīng)目錄及相關(guān)信息進(jìn)行集中管理，并定期或按照實(shí)際需求進(jìn)行更新維護(hù)。測評流程：核查管理制度文件、記錄表單類文檔。預(yù)期結(jié)果：具有供應(yīng)目錄以及供應(yīng)商評價指標(biāo)、評價方法、評價流程等制度；具有開展供應(yīng)商評價或供應(yīng)商分類分級的記錄；具有定期或按照實(shí)際需求更新維護(hù)供應(yīng)目錄的記錄。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)優(yōu)先選擇供應(yīng)目錄中滿足條件的供應(yīng)商。測評流程：核查管理制度類文件、記錄表單文件。預(yù)期結(jié)果：規(guī)定優(yōu)先選擇供應(yīng)目錄中滿足條件的供應(yīng)商。c測評指標(biāo)：根據(jù)軟件供應(yīng)鏈中供應(yīng)關(guān)系、供應(yīng)活動的不同，供應(yīng)商應(yīng)符合供應(yīng)活動安全要求。測評流程：核查管理制度文件。預(yù)期結(jié)果：具有軟件開發(fā)、軟件交付、軟件運(yùn)維和軟件廢止中至少一項(xiàng)制度內(nèi)容。d本項(xiàng)測評內(nèi)容包括：測評流程：核查管理制度文件。預(yù)期結(jié)果：具有供應(yīng)商選擇策略或機(jī)制；具有背景、資質(zhì)、能力等評估的要求和記錄。e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)要求供方開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估工作，明確相關(guān)內(nèi)容和范圍；確需第三方機(jī)構(gòu)的，應(yīng)明確對第三方機(jī)構(gòu)的能力、資質(zhì)等要求。測評流程：核查管理制度文件。預(yù)期結(jié)果：具有供方開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估工作的要求；f本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)要求供方配合相關(guān)部門開展軟件供應(yīng)鏈安全審查、監(jiān)督和檢查。測評流程：核查管理制度文件。預(yù)期結(jié)果：具有供方配合相關(guān)部門開展軟件供應(yīng)鏈安全審查、監(jiān)督和檢查的要求。g本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)在供應(yīng)關(guān)系、供應(yīng)商股權(quán)等信息發(fā)生變更時，對變更帶來的安全風(fēng)險進(jìn)行評估，并采取相應(yīng)的風(fēng)險控制措施。測評流程：核查管理制度文件。預(yù)期結(jié)果：規(guī)定了在供應(yīng)關(guān)系、供應(yīng)商股權(quán)等信息發(fā)生變更時，對風(fēng)險進(jìn)行評估并采取相應(yīng)的風(fēng)險控制措施。h本項(xiàng)測評內(nèi)容包括：測評流程：核查管理制度文件。預(yù)期結(jié)果：規(guī)定了建立供應(yīng)商替代方案或具備相應(yīng)軟件的自主維護(hù)能力的要求。知識產(chǎn)權(quán)管理a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)防止因知識產(chǎn)權(quán)問題導(dǎo)致的法律風(fēng)險，或具備防范相應(yīng)法律風(fēng)險的能力和機(jī)制。測評流程：核查管理制度文件。預(yù)期結(jié)果：規(guī)定專利、軟著、授權(quán)、許可證至少一項(xiàng)知識產(chǎn)權(quán)管理要求。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)充分熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識產(chǎn)權(quán)，對知識產(chǎn)權(quán)進(jìn)行規(guī)范管理，防止侵權(quán)。測評流程：訪談知識產(chǎn)權(quán)管理人員。預(yù)期結(jié)果：熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識產(chǎn)權(quán)使用情況；未發(fā)生專利侵權(quán)案件；未違規(guī)使用開源組件。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：在核心業(yè)務(wù)場景中，宜對所使用的軟件產(chǎn)品或服務(wù)相關(guān)的國內(nèi)外知識產(chǎn)權(quán)情況進(jìn)行詳細(xì)識別分析，建立相關(guān)知識產(chǎn)權(quán)風(fēng)險的應(yīng)對方案。測評流程：核查管理制度文件、記錄文件。預(yù)期結(jié)果：具有對所使用的軟件的知識產(chǎn)權(quán)情況進(jìn)行詳細(xì)識別分析的要求；具有知識產(chǎn)權(quán)識別分析的記錄；建立了知識產(chǎn)權(quán)風(fēng)險的應(yīng)對方案。供應(yīng)活動管理基本流程a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)在開展供應(yīng)活動前，以協(xié)議、合同等方式與供方建立供應(yīng)關(guān)系。測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：開展供應(yīng)活動前簽訂了協(xié)議或合同。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)在協(xié)議、合同等文件中明確對供應(yīng)活動的安全要求，并簽署相應(yīng)的保密協(xié)議。測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：具有軟件采購、獲取、運(yùn)維、廢止等至少一類安全要求；具有有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)按照約定的內(nèi)容和范圍開展軟件供應(yīng)活動管理。測評流程：核查協(xié)議、合同執(zhí)行記錄。預(yù)期結(jié)果：按照軟件采購、獲取、運(yùn)維、廢止等的內(nèi)容和范圍開展相應(yīng)供應(yīng)活動。軟件采購a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)邀請軟件供應(yīng)鏈安全、網(wǎng)絡(luò)空間安全等領(lǐng)域?qū)＜遥ɑ蚓邆湎鄳?yīng)網(wǎng)絡(luò)空間安全能力的評標(biāo)人員）參與招標(biāo)采購過程。測評流程：核查記錄表單類文件。預(yù)期結(jié)果：評標(biāo)人員中包含至少一位軟件供應(yīng)鏈安全、網(wǎng)絡(luò)空間安全等領(lǐng)域?qū)＜摇本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)結(jié)合軟件應(yīng)用的實(shí)際業(yè)務(wù)場景，明確對軟件供應(yīng)鏈安全圖譜的要求；需要供方提供軟件供應(yīng)鏈安全圖譜的應(yīng)明確圖譜的內(nèi)容，如安全圖譜的等級、可追溯層級等。測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：具有軟件供應(yīng)鏈安全圖譜中軟件產(chǎn)品信息、軟件物料清單或安全信息中至少一項(xiàng)要求；規(guī)定了安全圖譜的等級、可追溯層級等內(nèi)容。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)根據(jù)國家和行業(yè)已發(fā)布標(biāo)準(zhǔn)以及自身業(yè)務(wù)要求制定軟件的安全需求基線和防護(hù)架構(gòu)，如軟件應(yīng)具備的安全防護(hù)能力、保護(hù)個人信息和重要數(shù)據(jù)等不被泄露的能力。測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：明確了軟件應(yīng)具備的安全防護(hù)能力、防止個人信息和重要數(shù)據(jù)泄漏的能力需求。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)確定所采購軟件的授權(quán)使用期限及相應(yīng)的技術(shù)協(xié)助要求，在授權(quán)方式可選的條件測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：明確了所采購軟件的授權(quán)方式、使用期限、技術(shù)協(xié)助要求。e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)制定從多個源廠商獲得兼容的產(chǎn)品和服務(wù)的方案，確保軟件來源的多樣性。對于單一來源的軟件，應(yīng)制定風(fēng)險消減措施。測評流程：核查記錄表單類文檔。預(yù)期結(jié)果：具備從多個源廠商獲得兼容的產(chǎn)品和服務(wù)的方案；具有單一來源軟件的風(fēng)險消減措施。f本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于定制研發(fā)軟件，應(yīng)要求供方具備安全開發(fā)相關(guān)資質(zhì)或建立安全開發(fā)規(guī)范，建立和維護(hù)安全的開發(fā)環(huán)境、建立工具和設(shè)備的安全管理和準(zhǔn)入控制等。測評流程：核查協(xié)議、合同，訪談建設(shè)負(fù)責(zé)人。預(yù)期結(jié)果：規(guī)定了供方需具備安全開發(fā)相關(guān)資質(zhì)或建立安全開發(fā)規(guī)范的要求；要求供方建立和維護(hù)安全的開發(fā)環(huán)境；要求供方建立和維護(hù)工具、設(shè)備的安全管理和準(zhǔn)入控制策略。g本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)要求供方提供驗(yàn)證產(chǎn)品是否來自原廠商且獲得許可的途徑或方法。測評流程：核查記錄表單類文檔。預(yù)期結(jié)果：具有對供方提供驗(yàn)證產(chǎn)品來自原廠商且獲得許可的途徑或方法的要求。h本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)明確對運(yùn)維技術(shù)團(tuán)隊(duì)及相應(yīng)技術(shù)能力的要求，包括但不限于風(fēng)險監(jiān)測識別、漏洞修復(fù)、完整性保護(hù)、安全測試等。測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：對運(yùn)維技術(shù)團(tuán)隊(duì)提出了風(fēng)險監(jiān)測識別、漏洞修復(fù)、完整性保護(hù)、安全測試等至少一項(xiàng)能力要求。i本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)要求軟件開發(fā)、交付、部署、測試等工具和設(shè)備具備可操作的替代方案。測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：具有軟件開發(fā)、交付、部署、測試等工具和設(shè)備具備可操作的替代方案的要求。j本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)考慮政治、外交、貿(mào)易、自然災(zāi)害、公共安全事件等不可抗力導(dǎo)致供應(yīng)中斷時的可替代策略。測評流程：核查協(xié)議、合同。測評流程：具有不可抗力導(dǎo)致供應(yīng)中斷時供方提供可替代策略的要求。k本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)明確軟件供應(yīng)鏈安全檢測和風(fēng)險評估的范圍，例如軟件資產(chǎn)識別、源代碼和二進(jìn)制代碼安全漏洞分析、軟件成分分析等；涉及第三方機(jī)構(gòu)的應(yīng)明確第三方機(jī)構(gòu)的資質(zhì)能力。測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：涉及第三方機(jī)構(gòu)的，對第三方機(jī)構(gòu)的資質(zhì)能力提出要求。軟件獲取a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)對軟件進(jìn)行端到端的完整性驗(yàn)證。測評流程：核查記錄表單類文檔，開展軟件完整性檢測。預(yù)期結(jié)果：具有端到端的完整性驗(yàn)證及驗(yàn)證結(jié)果的記錄；完整性檢測結(jié)果與提供的記錄一致。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)對所獲取軟件進(jìn)行全面安全檢測和風(fēng)險評估，例如源代碼安全漏洞分析、二進(jìn)制測評流程：核查安全檢測報(bào)告和協(xié)議、合同，開展軟件安全檢測。預(yù)期結(jié)果：安全檢測或風(fēng)險評估報(bào)告滿足協(xié)議、合同要求；具有軟件成分分析、源代碼安全漏洞分析、二進(jìn)制代碼安全漏洞分析或容器鏡像安全分析等至少一項(xiàng)安全檢測報(bào)告，并滿足協(xié)議、合同的約定；開展源代碼安全漏洞分析、二進(jìn)制代碼安全漏洞分析、容器鏡像安全分析或軟件成分分析等至少一項(xiàng)安全檢測，結(jié)果滿足協(xié)議、合同的約定。c本項(xiàng)測評內(nèi)容包括：測評流程：核查安全檢測報(bào)告，開展軟件安全檢測。預(yù)期結(jié)果：安全檢測報(bào)告未發(fā)現(xiàn)已公開高危漏洞未修復(fù)的情況，或?qū)σ压_高危漏洞采取相應(yīng)緩解措施。開展安全檢測未發(fā)現(xiàn)已公開高危漏洞未修復(fù)的情況，或?qū)σ压_高危漏洞采取相應(yīng)緩解措施。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于定制研發(fā)軟件，宜掌握關(guān)鍵軟件、組件的代碼結(jié)構(gòu)和技術(shù)原理；對于需要二次開發(fā)、獨(dú)立維護(hù)的應(yīng)獲取軟件源代碼和相關(guān)知識產(chǎn)權(quán)的授權(quán)，并妥善保管。測評流程：訪談建設(shè)負(fù)責(zé)人，核查記錄表單類文件。預(yù)期結(jié)果：掌握關(guān)鍵軟件、組件的代碼結(jié)構(gòu)和技術(shù)原理；委托開發(fā)單位已提供軟件源代碼以及知識產(chǎn)權(quán)的授權(quán)；具備軟件源代碼的安全管理措施或機(jī)制。e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于定制研發(fā)軟件，應(yīng)要求廠商提供軟件相關(guān)技術(shù)資料，包括但不限于中文版運(yùn)行測評流程：核查軟件技術(shù)資料和記錄表單類文檔。預(yù)期結(jié)果：具有中文版運(yùn)行維護(hù)、二次開發(fā)、軟件使用的場景和條件、權(quán)限和授權(quán)機(jī)制，以及軟件使用說明書、技術(shù)分析報(bào)告等。軟件運(yùn)維a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)確定運(yùn)維方案，包括運(yùn)維團(tuán)隊(duì)、運(yùn)維內(nèi)容和范圍、運(yùn)維流程等內(nèi)容。測評流程：核查運(yùn)維方案。預(yù)期結(jié)果：具有運(yùn)維團(tuán)隊(duì)、運(yùn)維內(nèi)容和范圍、運(yùn)維流程等內(nèi)容。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)確保軟件及運(yùn)行環(huán)境持續(xù)穩(wěn)定可用，保障軟件完整性和訪問控制策略正常。測評流程：檢測授權(quán)文件、軟件完整性、訪問控制策略，核查軟件運(yùn)維記錄。預(yù)期結(jié)果：授權(quán)文件有效，更新包、補(bǔ)丁包通過完整性驗(yàn)證；訪問控制策略有效可用。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)建立可追溯臺賬，對軟件產(chǎn)品或服務(wù)整個使用過程進(jìn)行記錄、檢測和維護(hù)，及時更新維護(hù)軟件供應(yīng)鏈安全圖譜。測評流程：核查記錄表單類文檔，檢測軟件供應(yīng)鏈安全圖譜。預(yù)期結(jié)果：記錄中包含日常巡檢、運(yùn)行維護(hù)、設(shè)置和修改等內(nèi)容；軟件供應(yīng)鏈安全圖譜中包含補(bǔ)丁、所使用運(yùn)維工具等信息。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)將軟件作為組織資產(chǎn)進(jìn)行管理，保障軟件安裝、升級維護(hù)時從安全可控的渠道獲測評流程：核查記錄表單類文檔，訪談建設(shè)負(fù)責(zé)人。預(yù)期結(jié)果：軟件資產(chǎn)管理對象覆蓋安裝包、升級包；安裝包、升級包在使用前經(jīng)過了可用性、安全性、完整性檢測，且滿足安全要求；軟件安裝、更新升級后，是否同步更新安全配置。e本項(xiàng)測評內(nèi)容包括：測評流程：核查記錄表單類文檔、協(xié)議、合同。預(yù)期結(jié)果：運(yùn)行環(huán)境的安全配置滿足協(xié)議、合同中的要求；對運(yùn)行環(huán)境進(jìn)行了安全配置，并記錄配置信息。f本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)明確運(yùn)維人員的訪問權(quán)限級別，對其訪問范圍和授權(quán)期限進(jìn)行嚴(yán)格區(qū)分，確定不同權(quán)限人員尤其是廠商、外包等非自有維護(hù)人員，開展軟件運(yùn)維的內(nèi)容和邊界檢查。測評流程：核查記錄表單類文檔，檢測權(quán)限劃分有效性。預(yù)期結(jié)果：劃分運(yùn)維人員的訪問權(quán)限級別，有效區(qū)分訪問范圍和授權(quán)期限；對非自有運(yùn)維人員明確規(guī)定了軟件運(yùn)維內(nèi)容和邊界，權(quán)限控制策略有效。g本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)對授權(quán)期限進(jìn)行管理，禁止使用超過授權(quán)使用期限或維保期限的軟件；確需使用的應(yīng)定期評估并處置其安全風(fēng)險。測評流程：核查運(yùn)維方案、運(yùn)維記錄文件，訪談建設(shè)負(fù)責(zé)人。預(yù)期結(jié)果：運(yùn)維方案對超期使用軟件提出安全風(fēng)險評估和處置要求；未發(fā)現(xiàn)超過授權(quán)使用期限或維保期限的軟件；存在超期使用的情況，評估并提出了安全風(fēng)險防范措施。h本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)對軟件運(yùn)維工具、運(yùn)維環(huán)境等進(jìn)行安全檢測和風(fēng)險評估，及時發(fā)現(xiàn)并處置軟件中測評流程：核查安全檢測報(bào)告或開展安全檢測。預(yù)期結(jié)果：報(bào)告中未發(fā)現(xiàn)軟件運(yùn)維工具、運(yùn)維環(huán)境的安全問題；開展安全檢測未發(fā)現(xiàn)軟件運(yùn)維工具、運(yùn)維環(huán)境的安全問題；發(fā)現(xiàn)了安全問題，采取了有效的消控措施。i本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)收集軟件供應(yīng)鏈的安全風(fēng)險信息，發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補(bǔ)救措施，并按照規(guī)定及時向有關(guān)主管監(jiān)管部門報(bào)告。測評流程：訪談建設(shè)負(fù)責(zé)人，核查記錄表單文件，開展安全檢測。預(yù)期結(jié)果：具有持續(xù)檢測或收集軟件供應(yīng)鏈安全風(fēng)險信息的機(jī)制；具有修復(fù)補(bǔ)救的記錄，且修復(fù)文件經(jīng)過安全檢測不存在高危安全漏洞或惡意代碼；涉及向主管監(jiān)管部門報(bào)告的，具有完備的文件和記錄。j本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)依據(jù)實(shí)際業(yè)務(wù)場景的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃，制定可接受的恢復(fù)時間和恢復(fù)目標(biāo)，并確定防范供應(yīng)中斷和服務(wù)中斷等風(fēng)險的安全策略。測評流程：核查管理制度文件。預(yù)期結(jié)果：制定了業(yè)務(wù)恢復(fù)策略和程序，明確恢復(fù)時間和恢復(fù)目標(biāo)；具備防范供應(yīng)中斷和服務(wù)中斷等風(fēng)險的安全策略。k本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)開展軟件供應(yīng)鏈相關(guān)范圍內(nèi)的數(shù)據(jù)安全檢測分析和風(fēng)險評估等工作，防止因軟件漏洞引起的信息泄露、數(shù)據(jù)泄露、篡改和損毀等安全事件發(fā)生。測評流程：核查安全分析報(bào)告或記錄，開展安全檢測或風(fēng)險評估。預(yù)期結(jié)果：具有安全分析報(bào)告或分析記錄，未發(fā)現(xiàn)信息泄露、數(shù)據(jù)泄露、數(shù)據(jù)篡改和數(shù)據(jù)損毀等數(shù)據(jù)安全風(fēng)險；或者發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險，并采取消控措施。l本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)對軟件外聯(lián)網(wǎng)絡(luò)地址、域名數(shù)據(jù)等進(jìn)行檢測和分析，及時發(fā)現(xiàn)產(chǎn)品后門植入、擅自提高權(quán)限等違規(guī)操作。測評流程：核查安全檢測報(bào)告，或開展安全檢測。預(yù)期結(jié)果：未發(fā)現(xiàn)軟件外聯(lián)網(wǎng)絡(luò)地址、域名數(shù)據(jù)等檢測等內(nèi)容中存在后門、越權(quán)等安全風(fēng)險?；蛘邔σ呀?jīng)發(fā)現(xiàn)的安全風(fēng)險，采取了消控措施。軟件廢止a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)制定軟件廢止處理規(guī)程，例如軟件停用和卸載、軟件供應(yīng)鏈安全圖譜歸檔、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀等，并按照規(guī)程開展相應(yīng)工作。測評流程：核查管理制度文件。預(yù)期結(jié)果：具有軟件停用和卸載、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀等規(guī)定、流程或機(jī)制；具有軟件停用和卸載、軟件供應(yīng)鏈安全圖譜歸檔、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀中的至少一類工作記錄。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)移除準(zhǔn)入控制措施和策略中與所廢止軟件相關(guān)的信息，例如軟件、人員、設(shè)備等要求和規(guī)則；對于不適合清除的應(yīng)制定相應(yīng)的控制措施和策略。測評流程：核查管理制度文件或工作記錄文件，開展安全檢測。預(yù)期結(jié)果：已移除與所廢止軟件相關(guān)的準(zhǔn)入控制措施和策略；對不適合移除的，制定了相應(yīng)的控制措施。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)具備軟件廢止后防止軟件泄露、數(shù)據(jù)泄露的安全保障能力。測評流程：核查數(shù)據(jù)安全分析報(bào)告或檢測數(shù)據(jù)安全保護(hù)措施。預(yù)期結(jié)果：安全保護(hù)措施有效可用，能夠?qū)崿F(xiàn)軟件防泄露、數(shù)據(jù)防泄露。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于軟件產(chǎn)品廢止并替換為新產(chǎn)品的，應(yīng)要求新產(chǎn)品的供方支持?jǐn)?shù)據(jù)遷移到新的軟件產(chǎn)品。測評流程：核查協(xié)議、合同、數(shù)據(jù)遷移記錄。e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：涉及數(shù)據(jù)銷毀的，宜參照GB/T37988—2019中第11章的要求進(jìn)行數(shù)據(jù)銷毀、防止對存儲的數(shù)據(jù)進(jìn)行修復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。測評流程：核查記錄表單文件。預(yù)期結(jié)果：按照GB/T37988—2019中第11章的要求執(zhí)行數(shù)據(jù)銷毀。f本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：廢止工作完成后應(yīng)進(jìn)行安全檢測，確保除例外的要求和規(guī)則外，軟件及其相關(guān)信息被完全廢止。測評流程：核查安全檢測報(bào)告或記錄。預(yù)期結(jié)果：除例外的要求和規(guī)則外，軟件及其相關(guān)信息被完全廢止。供方軟件供應(yīng)鏈安全要求測評方法組織管理機(jī)構(gòu)管理a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)明確軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)或人員及其職責(zé)范圍，提供保障軟件供應(yīng)鏈安全所需的資源（如有關(guān)資金、場地、人力等），并在預(yù)算管理過程中予以重點(diǎn)考慮。測評流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度以及表單等文件。預(yù)期結(jié)果：具有軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)、人員和職責(zé)分工以及資金支持。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜，定期（至少每年一次）開展軟件供應(yīng)鏈安測評流程：訪談信息/網(wǎng)絡(luò)安全主管，核查安全檢測報(bào)告，檢測軟件供應(yīng)鏈安全圖譜。預(yù)期結(jié)果：開展軟件供應(yīng)鏈安全檢測、風(fēng)險評估等軟件供應(yīng)鏈安全風(fēng)險管理工作不少于1次；具有軟件成分分析、源代碼和二進(jìn)制代碼安全漏洞分析等至少一項(xiàng)安全檢測或風(fēng)險評估報(bào)告；至少具有軟件資產(chǎn)清單、軟件物料清單或軟件供應(yīng)鏈安全圖譜中的一項(xiàng)。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)及時制定、修訂、宣貫、執(zhí)行各項(xiàng)軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制。測評流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度文件和執(zhí)行情況。預(yù)期結(jié)果：具有軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制，并有宣貫記錄；具有執(zhí)行和修訂情況的記錄。制度管理a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略（可作為單獨(dú)的文件，也可作為相關(guān)文件中的一部分），至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別處置、監(jiān)督檢查等內(nèi)容。測評流程：核查管理制度文件。預(yù)期結(jié)果：制度中具有軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別處置、監(jiān)督檢查等內(nèi)容。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險的持續(xù)監(jiān)測、風(fēng)險評估和事件響應(yīng)制度，并明確不同等測評流程：核查管理制度類文件。預(yù)期結(jié)果：具有不同等級安全事件的報(bào)告、處置、響應(yīng)的流程和機(jī)制；具有安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)等內(nèi)容。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)制定軟件開發(fā)、交付、運(yùn)維、廢止等供應(yīng)活動的安全管理制度，例如安全開發(fā)、交付部署和驗(yàn)收、故障處理和維護(hù)升級等管理制度、規(guī)程或機(jī)制。測評流程：核查管理制度文件。預(yù)期結(jié)果：具有軟件開發(fā)、交付、運(yùn)維、廢止等供應(yīng)活動中的相關(guān)安全要求。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度，例如人員權(quán)限、能力、資質(zhì)、（應(yīng)明確并開展背景審查工作的要求。測評流程：核查人員管理制度文件。預(yù)期結(jié)果：具有人員權(quán)限、技術(shù)能力、專業(yè)資質(zhì)、安全背景、技能培訓(xùn)等要求；具有對采購、安全測試、配置管理、漏洞管理等人員背景審查的要求。e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)制定知識產(chǎn)權(quán)管理制度，包括但不限于軟件授權(quán)證書、專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。測評流程：核查管理制度文件。預(yù)期結(jié)果：具有對專利、軟件著作權(quán)、許可協(xié)議等制度內(nèi)容。。人員管理a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)明確人員需具備的軟件供應(yīng)鏈實(shí)體要素的識別和安全分析能力，例如軟件資產(chǎn)識別分析、軟件漏洞挖掘、后門檢測、訪問控制管理、完整性保護(hù)等。測評流程：核查管理制度文件和記錄表單類文檔。預(yù)期結(jié)果：具有軟件資產(chǎn)識別分析、軟件漏洞挖掘、后門檢測、訪問控制管理、完整性保護(hù)等至少一項(xiàng)能力要求；具有軟件供應(yīng)鏈實(shí)體要素的識別和安全分析能力的考核記錄。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)劃分人員的職責(zé)定位、權(quán)限級別，采用最小授權(quán)機(jī)制并建立操作規(guī)范，創(chuàng)建操作日志。測評流程：核查管理制度文件和記錄表單類文檔。預(yù)期結(jié)果：劃分了軟件供應(yīng)鏈安全管理人員職責(zé)分工、權(quán)限級別；根據(jù)工作任務(wù)分配了最小權(quán)限；具有人員操作日志或記錄。c本項(xiàng)測評內(nèi)容包括：測評流程：核查管理制度文件和記錄表單類文檔。預(yù)期結(jié)果：具有軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等要求；具有防范供應(yīng)關(guān)系風(fēng)險、技術(shù)安全風(fēng)險、合規(guī)安全風(fēng)險等能力考核記錄。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)定期（至少每年一次）開展軟件供應(yīng)鏈安全和保密培訓(xùn)，培訓(xùn)內(nèi)容包括但不限軟件供應(yīng)鏈實(shí)體要素的識別和安全分析，以及防范各類軟件供應(yīng)鏈安全風(fēng)險能力涉及的內(nèi)容。測評流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度文件和記錄表單類文檔。預(yù)期結(jié)果：開展了保密培訓(xùn)，具有培訓(xùn)記錄；開展了能力培訓(xùn)，內(nèi)容包含軟件供應(yīng)鏈實(shí)體要素識別或安全分析能力中至少一項(xiàng)；e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)建立并執(zhí)行離職離崗人員的賬號、權(quán)限、材料等交接、清理的機(jī)制和規(guī)程。測評流程：核查管理制度文件、記錄表單類文檔，檢測賬號權(quán)限。預(yù)期結(jié)果：具有離職人員賬號、權(quán)限、材料的交接和清理機(jī)制和規(guī)程；具有離職離崗人員停止其賬號及訪問權(quán)限、交還材料等記錄；離職人員賬號權(quán)限已不可用。知識產(chǎn)權(quán)管理a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)防止因知識產(chǎn)權(quán)問題導(dǎo)致的法律風(fēng)險，或具備防范相應(yīng)法律風(fēng)險的能力和機(jī)制。測評流程：核查管理制度文件。預(yù)期結(jié)果：規(guī)定專利、軟著、授權(quán)、許可證至少一項(xiàng)知識產(chǎn)權(quán)管理要求。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)充分熟悉所提供軟件的知識產(chǎn)權(quán)，對知識產(chǎn)權(quán)進(jìn)行規(guī)范管理，防止侵權(quán)。測評流程：訪談知識產(chǎn)權(quán)管理人員。預(yù)期結(jié)果：熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識產(chǎn)權(quán)使用情況；未發(fā)生知識產(chǎn)權(quán)侵權(quán)案件；未違規(guī)使用開源組件。供應(yīng)活動管理基本流程a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)在開展供應(yīng)活動前，以協(xié)議、合同等方式與需方建立供應(yīng)關(guān)系。測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：開展供應(yīng)活動前簽訂了協(xié)議或合同。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)在協(xié)議、合同等文件中明確對供應(yīng)活動的安全要求，并簽署相應(yīng)的保密協(xié)議。測評流程：核查協(xié)議、合同。預(yù)期結(jié)果：具有軟件開發(fā)、交付、運(yùn)維、廢止等至少一類安全要求；具有有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)按照約定的內(nèi)容和范圍開展軟件供應(yīng)活動管理。測評流程：核查協(xié)議、合同執(zhí)行記錄。預(yù)期結(jié)果：按照軟件開發(fā)、交付、運(yùn)維、廢止等的內(nèi)容和范圍開展相應(yīng)供應(yīng)活動。軟件開發(fā)a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)參照GB/T30998—20146章開展軟件開發(fā)的安全保障分析，或具備安全開發(fā)資質(zhì)，例如信息安全服務(wù)資質(zhì)（安全開發(fā)類）、軟件安全開發(fā)服務(wù)資質(zhì)等。測評流程：核查管理制度文件、記錄表單類文件。預(yù)期結(jié)果：在軟件需求、設(shè)計(jì)、編碼、測試等階段具有安全開發(fā)規(guī)范，開展了安全保障分析，具有分析報(bào)告或記錄；或具有至少一類安全開發(fā)服務(wù)資質(zhì)。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)將軟件作為組織資產(chǎn)進(jìn)行管理，制定和實(shí)施防盜版的策略和規(guī)程，開發(fā)過程中對文件、組件、開發(fā)工具等采取訪問控制、完整性保護(hù)等安全機(jī)制。測評流程：核查記錄表單類文件，開展完整性保護(hù)、訪問控制措施有效性檢測。預(yù)期結(jié)果：具有軟件資產(chǎn)管理制度或規(guī)定，包含防盜版的策略或規(guī)程；文件、組件、開發(fā)工具的訪問控制、完整性保護(hù)措施有效可用。c本項(xiàng)測評內(nèi)容包括：測評流程：檢測軟件供應(yīng)鏈安全圖譜，核查記錄表單類文件。預(yù)期結(jié)果：建立軟件資產(chǎn)清單、軟件物料清單或軟件供應(yīng)鏈安全圖譜；圖譜包含GB/T43698-2024D中軟件產(chǎn)品信息、軟件物料清單、安全漏洞等信息；具有軟件供應(yīng)鏈安全圖譜的完備性和準(zhǔn)確性的記錄。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)基于軟件供應(yīng)鏈安全圖譜，建立和維護(hù)可追溯性的策略和程序，記錄和保留外部組件的原始供應(yīng)方、開源社區(qū)或開發(fā)貢獻(xiàn)者等相關(guān)信息，可追溯至上游供應(yīng)商。測評流程：核查軟件供應(yīng)鏈安全圖譜可追溯策略或程序。預(yù)期結(jié)果：具有開源組件的上游或原始供應(yīng)方、開源社區(qū)或開發(fā)貢獻(xiàn)者等信息；具有第三方組件的上游或原始供應(yīng)方或開發(fā)貢獻(xiàn)者等信息；具有自研組件開發(fā)貢獻(xiàn)者信息；e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)確定軟件的安全需求基線和防護(hù)架構(gòu)，保障軟件具備安全防護(hù)、保護(hù)個人信息和重要數(shù)據(jù)不被泄露等能力。測評流程：核查基線配置記錄，檢測基線配置和防護(hù)措施。測評流程：具有安全基線配置記錄；配置中包含安全防護(hù)、保護(hù)個人信息和重要數(shù)據(jù)防泄露等內(nèi)容；基線配置和安全防護(hù)措施有效可用。f本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)承諾所使用的外部組件不存在已公開漏洞未修復(fù)的情況；對于存在已公開漏洞未修復(fù)的，應(yīng)及時修復(fù)漏洞，或采取緩解防御措施，或提供漏洞分析和處置報(bào)告。測評流程：核查合同或承諾書、安全檢測報(bào)告，開展軟件安全檢測。預(yù)期結(jié)果：具有開源或第三方組件不存在已知公開漏洞未修復(fù)的承諾；安全檢測報(bào)告中不存在已公開漏洞未修復(fù)的情況，或?qū)Υ嬖谝压_漏洞未修復(fù)的，采取了相應(yīng)緩解措施；開展軟件安全檢測未發(fā)現(xiàn)已公開漏洞未修復(fù)的情況。g本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)建立外部組件的使用審批機(jī)制，對來源于開放源代碼社區(qū)和第三方的代碼、組件（測評流程：核查管理制度文件，檢測外部組件庫。預(yù)期結(jié)果：具有外部組件的使用審批機(jī)制；審批機(jī)制內(nèi)容包括完整性驗(yàn)證、安全檢測評價和依賴關(guān)系分析，并具有相應(yīng)的記錄；具有自建的開源或第三方組件庫，具有組件推薦策略；組件安全檢測的漏洞、開源許可協(xié)議結(jié)果與審批過程的結(jié)果一致。h本項(xiàng)測評內(nèi)容包括：預(yù)期結(jié)果：定期或按需對所使用的工具、外部組件進(jìn)行安全分析；具有所使用的工具、外部組件的使用狀態(tài)、安全狀態(tài)分析報(bào)告或記錄；對于存在安全風(fēng)險、缺乏維護(hù)或?qū)⒁獜U止的工具、外部組件，具有更新、修復(fù)或停用、廢止等安全保障記錄或計(jì)劃，并同時開展或計(jì)劃對軟件供應(yīng)鏈安全圖譜更新。i本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于難以驗(yàn)證來源的工具、外部組件，應(yīng)禁止使用；確需使用的應(yīng)醒目標(biāo)注，說明原因，通過安全檢測和風(fēng)險評估后方可使用。測評流程：訪談項(xiàng)目負(fù)責(zé)人，核查記錄表單類文檔、安全檢測報(bào)告，開展安全檢測。預(yù)期結(jié)果：沒有使用未通過完整性校驗(yàn)或難以驗(yàn)證來源的工具、外部組件；使用了難以驗(yàn)證來源的工具、外部組件，并醒目標(biāo)注；具有2）中工具、外部組件的安全檢測分析記錄或報(bào)告，采取了安全防護(hù)措施。j本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)建立安全可控的軟件開發(fā)工作場所，搭建并使用專用的開發(fā)環(huán)境；涉及多個開發(fā)環(huán)境的應(yīng)進(jìn)行必要的邏輯隔離。測評流程：訪談項(xiàng)目負(fù)責(zé)人、檢測開發(fā)環(huán)境、核查記錄表單類文檔。預(yù)期結(jié)果：具有安全可控的軟件開發(fā)工作場所；具有專用的開發(fā)環(huán)境；涉及多個開發(fā)環(huán)境的，進(jìn)行了有效的邏輯隔離。k本項(xiàng)測評內(nèi)容包括：/測評流程：核查記錄表單類文件。預(yù)期結(jié)果：具有開發(fā)/測試工具和設(shè)備的白名單準(zhǔn)入控制機(jī)制；具有安全檢測、正版授權(quán)驗(yàn)證、官方完整性校驗(yàn)等措施和實(shí)施記錄；核心開發(fā)工具、核心組件具有可替代方案或自主可控。l本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)選擇供需雙方約定的方式開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估工作，例如源代碼安全檢測、二進(jìn)制代碼安全檢測、軟件成分分析、知識產(chǎn)權(quán)分析、數(shù)據(jù)安全能力成熟度分析等。測評流程：核查協(xié)議、合同、安全檢測報(bào)告，開展軟件安全檢測。預(yù)期結(jié)果：具有源代碼安全檢測、二進(jìn)制代碼安全檢測、軟件成分分析、知識產(chǎn)權(quán)分析、數(shù)據(jù)安全能力成熟度分析等至少一項(xiàng)安全檢測或風(fēng)險評估報(bào)告；安全檢測和風(fēng)險評估報(bào)告或記錄滿足協(xié)議、合同中的安全要求；經(jīng)檢測報(bào)告發(fā)現(xiàn)的問題已修復(fù)，或采取了相應(yīng)的防護(hù)措施。軟件交付a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)確保交付軟件的真實(shí)性、準(zhǔn)確性、完整性，采取措施保護(hù)信息不被篡改和泄露，并提供所交付軟件的完整性驗(yàn)證措施或方法。測評流程：訪談項(xiàng)目負(fù)責(zé)人、檢測完保護(hù)措施。預(yù)期結(jié)果：具有保障軟件真實(shí)性、準(zhǔn)確性、完整性，以及保護(hù)信息不被篡改和泄露的安全措施；軟件采取的完整性驗(yàn)證措施或方法有效可用。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)按約定方式對交付軟件實(shí)行安全部署和配置，提供部署方法、安全配置基線和軟件供應(yīng)鏈安全圖譜等信息。測評流程：核查協(xié)議、合同和記錄表單類文件。預(yù)期結(jié)果：執(zhí)行的安全部署和配置滿足協(xié)議、合同中的安全要求；提供部署方法、安全配置基線和軟件供應(yīng)鏈安全圖譜。c本項(xiàng)測評內(nèi)容包括：測評流程：核查承諾書或安全檢測報(bào)告，開展軟件安全檢測。預(yù)期結(jié)果：具有不存在已知高危安全漏洞未修復(fù)的承諾書；安全檢測報(bào)告不存在已公開高危安全漏洞；或?qū)τ诖嬖谝压_漏洞未修復(fù)的，采取了相應(yīng)緩解措施；或開展安全檢測未發(fā)現(xiàn)已公開高危安全漏洞，或者對檢測發(fā)現(xiàn)的已公開高危安全漏洞采取了相應(yīng)緩解措施。d本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)配合開展所交付軟件的功能、性能、完整性及安全性等驗(yàn)收測試并對軟件進(jìn)行數(shù)測評流程：核查安全檢測報(bào)告、記錄表單類文檔和協(xié)議、合同。預(yù)期結(jié)果：具有交付軟件的功能、性能、完整性驗(yàn)收報(bào)告或記錄；交付軟件進(jìn)行了數(shù)字簽名；開展了供應(yīng)關(guān)系、供應(yīng)活動的安全檢測和風(fēng)險評估以及可持續(xù)供應(yīng)能力、安全漏洞等的記錄或報(bào)告；滿足協(xié)議、合同中的安全要求。e本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于所交付軟件，應(yīng)禁止交付約定范圍外的內(nèi)容，如開啟無關(guān)功能、捆綁無關(guān)軟件測評流程：訪談項(xiàng)目負(fù)責(zé)人，核查協(xié)議、合同和記錄表單類文檔。預(yù)期結(jié)果：所交付軟件不存在開啟無關(guān)功能，捆綁無關(guān)軟件的現(xiàn)象；承諾了不在軟件中設(shè)置后門，或利用軟件的便利條件非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備，不會利用軟件的依賴性謀取不正當(dāng)利益，不在未授權(quán)情況下對軟件進(jìn)行升級或更新?lián)Q代；采取了必要技術(shù)手段和管理措施確保遠(yuǎn)程訪問控制的安全性。f本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)及時提供交付環(huán)節(jié)變化的通報(bào)，以及相關(guān)的交付途徑安全性分析報(bào)告，并對可能造成嚴(yán)重后果的變化，快速采取補(bǔ)救措施。測評流程：訪談項(xiàng)目負(fù)責(zé)人，核查記錄表單類文件。預(yù)期結(jié)果：涉及交付環(huán)節(jié)變化的，具有變更的通報(bào)和記錄；具有交付途徑的安全分析記錄或報(bào)告。g本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)交付需方購買軟件的使用授權(quán)，例如許可證、產(chǎn)品序列號、許可協(xié)議等。測評流程：核查授權(quán)、記錄表單類文件。預(yù)期結(jié)果：交付了許可證、序列號等授權(quán)文件。h本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)保障所交付軟件使用的外部組件獲取途徑安全性、自身安全性、組件可持續(xù)服務(wù)測評流程：核查安全檢測報(bào)告、記錄表單類文檔和協(xié)議、合同。預(yù)期結(jié)果：對外部組件的獲取途徑、自身安全和可持續(xù)供應(yīng)等進(jìn)行了安全分析；對外部組件提供的承諾、說明、認(rèn)證證明、分析報(bào)告、資質(zhì)證明等相關(guān)材料符合協(xié)議、合同要求。i本項(xiàng)測評內(nèi)容包括：測評流程：核查軟件代碼和上述文件。預(yù)期結(jié)果：交付了軟件源代碼，中文版運(yùn)行維護(hù)、二次開發(fā)、軟件使用的場景和條件、權(quán)限和授權(quán)機(jī)制，以及軟件使用說明書、技術(shù)分析報(bào)告等。j本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：對于定制研發(fā)或者自主研制軟件，應(yīng)妥善保管i)中的內(nèi)容，并依據(jù)相關(guān)規(guī)定或合同文件，不將軟件全部或部分泄露到授權(quán)以外的范圍，并簽署保密協(xié)議。測評流程：核查保障措施、協(xié)議、合同。預(yù)期結(jié)果：合同或保障措施中約定了軟件授權(quán)和使用范圍；合同、協(xié)議中規(guī)定了保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。k本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)對軟件分包、集成等工作的安全負(fù)責(zé)。測評流程：訪談項(xiàng)目負(fù)責(zé)人，核查協(xié)議、合同。預(yù)期結(jié)果：涉及分包、集成的，協(xié)議、合同中包括對軟件分包、集成等工作的安全負(fù)責(zé)條款。l本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)開展全面的軟件供應(yīng)鏈安全檢測，例如源代碼安全檢測、二進(jìn)制代碼安全檢測和容器鏡像安全檢測等，緩解或消除軟件供應(yīng)鏈安全風(fēng)險。測評流程：核查安全檢測報(bào)告，開展安全檢測。預(yù)期結(jié)果：具有源代碼安全檢測、二進(jìn)制代碼安全檢測和容器鏡像安全檢測等的至少一項(xiàng)安全檢測報(bào)告，并修復(fù)了發(fā)現(xiàn)的高危安全風(fēng)險；開展軟件源代碼、二進(jìn)制代碼或容器鏡像安全檢測，對發(fā)現(xiàn)的高危安全漏洞、開源許可協(xié)議采取了消控措施。軟件運(yùn)維a本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)確保軟件在授權(quán)期內(nèi)持續(xù)穩(wěn)定可用，保障軟件完整性和訪問控制策略正常。測評流程：檢測授權(quán)文件、軟件完整性、訪問控制策略，核查軟件運(yùn)維記錄。預(yù)期結(jié)果：授權(quán)文件有效，更新包、補(bǔ)丁包通過完整性驗(yàn)證；訪問控制策略有效可用。b本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)協(xié)調(diào)軟件原廠、供應(yīng)商、集成商等共同開展軟件運(yùn)維工作。測評流程：訪談項(xiàng)目負(fù)責(zé)人，核查記錄表單文件。預(yù)期結(jié)果：能夠協(xié)調(diào)軟件原廠、供應(yīng)商、集成商等共同開展軟件運(yùn)維工作；具有軟件原廠、供應(yīng)商或集成商的軟件運(yùn)維工作記錄。c本項(xiàng)測評內(nèi)容包括：測評指標(biāo)：應(yīng)建立并維護(hù)可追溯臺賬，及時更新維護(hù)軟件供應(yīng)鏈