信息與通信技術(shù)和服務(wù)供應(yīng)商安全要求編制說(shuō)明

信息與通信技術(shù)和服務(wù)供應(yīng)商安全要求編制說(shuō)明標(biāo)準(zhǔn)起草工作組2025年3月

目的意義近年，信息與通信技術(shù)和服務(wù)供應(yīng)商提供的產(chǎn)品及服務(wù)在各領(lǐng)域廣泛應(yīng)用，相關(guān)安全事件亦快速增長(zhǎng)，并在軟件生命周期的各個(gè)環(huán)節(jié)、系統(tǒng)的各個(gè)層次上均有發(fā)生。例如，某微信服務(wù)商私自使用數(shù)家銀行600余萬(wàn)條會(huì)話存檔數(shù)據(jù)、4家省聯(lián)社網(wǎng)銀系統(tǒng)客戶信息和賬戶信息被竊取、以色列滲透供應(yīng)鏈制造尋呼機(jī)爆炸事件、LinuxXZUtils開源項(xiàng)目后門投毒事件等供應(yīng)鏈攻擊事件。此類事件涉及大型信息化企業(yè)、國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)，亟待提升各方在整體網(wǎng)絡(luò)安全中的供應(yīng)鏈安全風(fēng)險(xiǎn)發(fā)現(xiàn)處置能力和供應(yīng)鏈安全治理能力。構(gòu)建系統(tǒng)且具針對(duì)性的信息與通信技術(shù)和服務(wù)供應(yīng)商安全能力規(guī)范，其主要目的包括幾點(diǎn)，一是規(guī)范信息與通信技術(shù)和服務(wù)供應(yīng)商中六類供應(yīng)商（系統(tǒng)開發(fā)、產(chǎn)品供應(yīng)、運(yùn)營(yíng)運(yùn)維與安全服務(wù)、集成建設(shè)、云服務(wù)、數(shù)據(jù)服務(wù)）在管理制度、組織機(jī)構(gòu)和人員、供應(yīng)活動(dòng)各環(huán)節(jié)中的安全能力；二是落實(shí)服務(wù)供應(yīng)商安全能力認(rèn)證工作；三是強(qiáng)化供應(yīng)商安全防護(hù)手段；四是監(jiān)督供應(yīng)商的安全行為；五是規(guī)范供應(yīng)鏈活動(dòng)流程。本項(xiàng)目成功實(shí)施的意義重大，在國(guó)家戰(zhàn)略、供應(yīng)鏈及企業(yè)發(fā)展等方面發(fā)揮關(guān)鍵作用，具體如下。一是助力國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略。信息與通信技術(shù)和服務(wù)供應(yīng)商安全能力規(guī)范是供應(yīng)鏈安全治理的核心舉措，也是與國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略布局緊密契合的關(guān)鍵紐帶。其引導(dǎo)信息與通信技術(shù)和服務(wù)供應(yīng)商在網(wǎng)絡(luò)架構(gòu)搭建、數(shù)據(jù)流轉(zhuǎn)管控、風(fēng)險(xiǎn)隱患排查等層面對(duì)接國(guó)家戰(zhàn)略要求，凝聚強(qiáng)大合力，全方位保障關(guān)鍵信息基礎(chǔ)設(shè)施的穩(wěn)固、數(shù)據(jù)資產(chǎn)的安全以及網(wǎng)絡(luò)空間的有序可控，有力推動(dòng)供應(yīng)鏈安全治理體系的科學(xué)化、規(guī)范化進(jìn)程，深度踐行國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，為國(guó)家網(wǎng)絡(luò)安全防護(hù)建設(shè)提供關(guān)鍵支撐。二是加強(qiáng)供應(yīng)鏈安全韌性。供應(yīng)鏈安全問(wèn)題層出不窮，對(duì)供應(yīng)鏈服務(wù)施行規(guī)范化要求管理，可以極大提升供應(yīng)鏈安全風(fēng)險(xiǎn)發(fā)現(xiàn)的效率，減少供應(yīng)鏈安全治理層面的人力成本。同時(shí)可以凸顯供應(yīng)鏈安全治理的重要性，幫助國(guó)內(nèi)建立供應(yīng)商安全能力標(biāo)準(zhǔn)要求體系，達(dá)到增強(qiáng)供應(yīng)商網(wǎng)絡(luò)安全能力，提升社會(huì)面供應(yīng)鏈安全韌性的效果。三是促進(jìn)企業(yè)間信任合作。統(tǒng)一且明確的信息與通信技術(shù)和服務(wù)供應(yīng)商安全能力規(guī)范，能為企業(yè)間合作加強(qiáng)相互信任。于供應(yīng)鏈體系內(nèi)，一方面，供應(yīng)商依據(jù)技術(shù)規(guī)范完善自身安全能力建設(shè)，通過(guò)申請(qǐng)安全能力認(rèn)證，提升自身的核心競(jìng)爭(zhēng)力。另一方面，需求方可參考技術(shù)規(guī)范中的評(píng)估方法開展對(duì)供應(yīng)商安全能力的考核評(píng)價(jià)，可清晰量化供應(yīng)商安全能力水平，有效降低因安全隱患導(dǎo)致的合作風(fēng)險(xiǎn)與不確定性，增強(qiáng)合作信心。通過(guò)促進(jìn)企業(yè)間建立更為緊密、深入且持久的合作關(guān)系，可有力提升供應(yīng)鏈整體協(xié)同效率與穩(wěn)定性，推動(dòng)產(chǎn)業(yè)集群式良性發(fā)展。四是激發(fā)供應(yīng)商創(chuàng)新動(dòng)力。信息與通信技術(shù)和服務(wù)供應(yīng)商安全能力規(guī)范為供應(yīng)商營(yíng)造了創(chuàng)新發(fā)展的良好環(huán)境與有力驅(qū)動(dòng)。為契合規(guī)范要求，供應(yīng)商需積極探索全新技術(shù)路徑與解決方案，深度挖掘安全技術(shù)研發(fā)潛力，不斷優(yōu)化產(chǎn)品與服務(wù)的安全性能。在網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)安全管理等關(guān)鍵點(diǎn)，供應(yīng)商將被激勵(lì)加大創(chuàng)新投入，催生如智能化安全監(jiān)測(cè)系統(tǒng)、高效加密傳輸技術(shù)等一系列具有突破性的創(chuàng)新成果。在提升自身核心競(jìng)爭(zhēng)力的同時(shí)，將帶動(dòng)整個(gè)行業(yè)安全技術(shù)水平的進(jìn)階式提升，促進(jìn)安全技術(shù)創(chuàng)新成果在供應(yīng)鏈各環(huán)節(jié)的快速轉(zhuǎn)化與應(yīng)用，為產(chǎn)業(yè)可持續(xù)創(chuàng)新發(fā)展注入持久活力，塑造更具韌性與前瞻性的供應(yīng)鏈生態(tài)體系。任務(wù)來(lái)源在為供應(yīng)鏈的需求方和供應(yīng)商開展供應(yīng)鏈安全體系建設(shè)的過(guò)程中，發(fā)現(xiàn)現(xiàn)有的標(biāo)準(zhǔn)無(wú)法滿足需求方和供應(yīng)商的安全需求，在同眾多需求方及供應(yīng)商溝通交流后，形成了彼此認(rèn)可的供應(yīng)商安全能力評(píng)價(jià)指標(biāo)體系。編制過(guò)程1) 2024年6月，成立編制工作組，啟動(dòng)標(biāo)準(zhǔn)編制工作，公安部第三研究所開始籌備起草組成立會(huì)議，分別向行業(yè)內(nèi)知名的企業(yè)、從事相關(guān)研究的單位發(fā)出邀請(qǐng)并開展起草工作。2）2024年12月，形成標(biāo)準(zhǔn)草案。3）2024年12月5日，提交標(biāo)準(zhǔn)項(xiàng)目建議書4）2024年12月30日，經(jīng)過(guò)多次內(nèi)部征求意見(jiàn)，形成標(biāo)準(zhǔn)草案修改版。5）2025年1月7日，形成標(biāo)準(zhǔn)草案第一版。2025年1月17日，召開立項(xiàng)評(píng)審會(huì)，邀請(qǐng)專家對(duì)草案給出建議。2025年2月8日至2025年2月25日，期間進(jìn)行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，針對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行了細(xì)節(jié)的修改與調(diào)整。2025年3月1日，形成征求意見(jiàn)稿。主要內(nèi)容技術(shù)指標(biāo)確立本標(biāo)準(zhǔn)適用于對(duì)信息與通信技術(shù)和服務(wù)供應(yīng)商中六類供應(yīng)商（系統(tǒng)開發(fā)、產(chǎn)品供應(yīng)、運(yùn)營(yíng)運(yùn)維與安全服務(wù)、集成建設(shè)、云服務(wù)、數(shù)據(jù)服務(wù)）安全能力的評(píng)價(jià)，可為運(yùn)營(yíng)者選擇供應(yīng)商或?qū)ζ溥M(jìn)行安全性評(píng)價(jià)時(shí)提供參考，也可指導(dǎo)供應(yīng)商加強(qiáng)供應(yīng)鏈安全管理。詳情如下：（一）供應(yīng)商通用能力1、供應(yīng)商管理能力：要求供應(yīng)商制定供應(yīng)鏈安全管理工作的總體方針和安全策略，明確內(nèi)部安全生產(chǎn)和管理工作的責(zé)任部門及相應(yīng)職責(zé)，以及對(duì)人員、知識(shí)產(chǎn)權(quán)、保密等內(nèi)容和環(huán)節(jié)的管理要求，并根據(jù)要求內(nèi)容形成評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法。2、供應(yīng)活動(dòng)過(guò)程能力：要求供應(yīng)商對(duì)安全服務(wù)工具、供應(yīng)鏈服務(wù)產(chǎn)品進(jìn)行規(guī)范化管控，保障通信安全，遵循數(shù)據(jù)全生命周期相關(guān)法律法規(guī)，并制定應(yīng)急預(yù)案和應(yīng)急響應(yīng)計(jì)劃，并根據(jù)要求內(nèi)容形成評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法。3、外部風(fēng)險(xiǎn)控制能力：要求供應(yīng)商制定資產(chǎn)管理規(guī)范、輿情管控策略，掌握自身互聯(lián)網(wǎng)資產(chǎn)的安全狀況，進(jìn)行分類和風(fēng)險(xiǎn)控制，并根據(jù)要求內(nèi)容形成評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法。（二）供應(yīng)商擴(kuò)展能力1、系統(tǒng)開發(fā)擴(kuò)展能力：要求供應(yīng)商建立開源及第三方軟硬件管理規(guī)范制度、安全漏洞管理制度，明確開發(fā)過(guò)程的文檔和源代碼的版本管理和備份，以及對(duì)開發(fā)環(huán)境、人員的管控要求，對(duì)開發(fā)過(guò)程的各個(gè)階段具備相關(guān)管理規(guī)范和要求，對(duì)源代碼、第三方組件及開發(fā)過(guò)程工具進(jìn)行管理，確保產(chǎn)品無(wú)漏洞安全風(fēng)險(xiǎn)且合規(guī)授權(quán)，并根據(jù)要求內(nèi)容形成評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法。2、產(chǎn)品供應(yīng)擴(kuò)展能力：要求供應(yīng)商在交付前檢查確認(rèn)產(chǎn)品的符合性，包括相關(guān)認(rèn)證證書、控制措施、安全檢測(cè)等，在交付中具備異常場(chǎng)景處置流程、人員培訓(xùn)、監(jiān)測(cè)記錄和通信安全要求，審計(jì)調(diào)試過(guò)程操作行為，在交付后具備產(chǎn)品追蹤臺(tái)賬及服務(wù)跟蹤機(jī)制、產(chǎn)品版本升級(jí)機(jī)制，并根據(jù)要求內(nèi)容形成評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法。3、運(yùn)營(yíng)運(yùn)維與安全服務(wù)擴(kuò)展能力：要求供應(yīng)商具備相應(yīng)運(yùn)營(yíng)運(yùn)維服務(wù)方案，明確監(jiān)督機(jī)制或?qū)徲?jì)措施，對(duì)服務(wù)過(guò)程中的風(fēng)險(xiǎn)具備應(yīng)對(duì)措施，編制網(wǎng)絡(luò)安全服務(wù)方案，明確服務(wù)變更流程和項(xiàng)目應(yīng)急處置機(jī)制，確保交付成果的真實(shí)性，并根據(jù)要求內(nèi)容形成評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法。4、集成建設(shè)擴(kuò)展能力：要求供應(yīng)商進(jìn)行安全調(diào)研評(píng)估，確保集成設(shè)計(jì)生命周期完整，明確集成方案設(shè)計(jì)的安全要求，制定集成實(shí)施方案，明確實(shí)施管理、集成測(cè)試和部署實(shí)施的相關(guān)要求，具備集成變更流程和審批程序，對(duì)采購(gòu)?fù)獍?jí)供應(yīng)商進(jìn)行資質(zhì)審查，明確雙方安全義務(wù)和責(zé)任，定期排查集成系統(tǒng)潛在安全隱患，并根據(jù)要求內(nèi)容形成評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法。5、云服務(wù)擴(kuò)展能力：要求供應(yīng)商云服務(wù)基礎(chǔ)設(shè)施的物理環(huán)境安全符合相關(guān)法律法規(guī)要求，設(shè)置物理訪問(wèn)權(quán)限控制及記錄，服務(wù)通信網(wǎng)絡(luò)滿足隔離要求和用戶自主設(shè)置安全策略能力，對(duì)云平臺(tái)用戶、容器鏡像倉(cāng)庫(kù)、網(wǎng)絡(luò)邊界等設(shè)置訪問(wèn)控制，監(jiān)測(cè)異常流量，審計(jì)訪問(wèn)控制情況，在服務(wù)水平協(xié)議中明確服務(wù)內(nèi)容、技術(shù)指標(biāo)和責(zé)任，運(yùn)維地點(diǎn)符合法律法規(guī)要求，建立云服務(wù)系統(tǒng)配置變更申報(bào)與審批制度，并根據(jù)要求內(nèi)容形成評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法。6、數(shù)據(jù)服務(wù)擴(kuò)展能力：要求供應(yīng)商在服務(wù)前具備數(shù)據(jù)服務(wù)管理能力，設(shè)計(jì)數(shù)據(jù)服務(wù)方案和框架，在服務(wù)中制定數(shù)據(jù)服務(wù)活動(dòng)管理程序和作業(yè)指導(dǎo)規(guī)范，采取相應(yīng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)，明確數(shù)據(jù)全生命周期管理要求、終端數(shù)據(jù)處理和權(quán)限分配管理要求，制定審計(jì)制度，在服務(wù)后建立文檔管理制度，明確數(shù)據(jù)文檔歸檔留存要求，并根據(jù)要求內(nèi)容形成評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法。與相關(guān)法律法規(guī)和國(guó)家標(biāo)準(zhǔn)的關(guān)系（1）GB/T24420-2009供應(yīng)鏈風(fēng)險(xiǎn)管理指南《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》只針對(duì)傳統(tǒng)供應(yīng)鏈，本標(biāo)準(zhǔn)則針對(duì)（系統(tǒng)開發(fā)、產(chǎn)品供應(yīng)、運(yùn)營(yíng)運(yùn)維與安全服務(wù)、集成建設(shè)、云服務(wù)、數(shù)據(jù)服務(wù)）軟硬件供應(yīng)鏈。（2）GB/T36637-2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南該標(biāo)準(zhǔn)著重于風(fēng)險(xiǎn)管理方面，對(duì)供應(yīng)鏈生命周期幾個(gè)階段中的脆弱性進(jìn)行風(fēng)險(xiǎn)管理。本標(biāo)準(zhǔn)編寫時(shí)則以供應(yīng)商服務(wù)類型作為劃分，對(duì)供應(yīng)商提出要求。（3）GB/T32921-2016信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則該標(biāo)準(zhǔn)也從供應(yīng)商的角度提出要求，該標(biāo)準(zhǔn)更傾向于保護(hù)用戶相關(guān)信息、維護(hù)用戶信息安全，限制供應(yīng)商對(duì)用戶相關(guān)信息收集和處理及遠(yuǎn)程控制用戶產(chǎn)品的安全準(zhǔn)則。（4）GB/T43698-2024網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求該標(biāo)準(zhǔn)僅關(guān)注軟件供應(yīng)鏈，不涉及硬件，從軟件的全生命周期的產(chǎn)品和服務(wù)進(jìn)行描述。對(duì)供方、需方、供需雙方的角度提出要求。（5）GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求本標(biāo)準(zhǔn)關(guān)注供應(yīng)鏈中各供應(yīng)商根據(jù)自身的產(chǎn)品或服務(wù)而形成的供應(yīng)關(guān)系。本標(biāo)準(zhǔn)參考了其中與供應(yīng)鏈安全相關(guān)的部分。（6）20192184-T-469網(wǎng)絡(luò)安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求（正在審查）該標(biāo)準(zhǔn)分別對(duì)供應(yīng)商與需求方提出簡(jiǎn)要的基礎(chǔ)要求，圍繞供應(yīng)鏈中各供應(yīng)商根據(jù)自身的產(chǎn)品或服務(wù)而形成的供應(yīng)關(guān)系展開。該標(biāo)準(zhǔn)更契合關(guān)鍵信息基礎(chǔ)設(shè)施的產(chǎn)品供應(yīng)鏈安全要求，涉及到供應(yīng)商的要求內(nèi)容較少，僅有小半頁(yè)。（7）GB/T32926-2016信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范該標(biāo)準(zhǔn)關(guān)注外包管理活動(dòng)，本標(biāo)準(zhǔn)中對(duì)二級(jí)供應(yīng)商的要求參考了這一標(biāo)準(zhǔn)。（8）GB/T31168-2023信息安全技術(shù)云計(jì)算服務(wù)安全能力要求該標(biāo)準(zhǔn)僅對(duì)云計(jì)算服務(wù)提出要求，而本標(biāo)準(zhǔn)從系統(tǒng)開發(fā)、產(chǎn)品供應(yīng)、運(yùn)營(yíng)運(yùn)維與安全服務(wù)、集成建設(shè)、云服務(wù)、數(shù)據(jù)服務(wù)六個(gè)供應(yīng)商服務(wù)類型。本在編寫云服務(wù)部分時(shí)，參考了這一標(biāo)準(zhǔn)中對(duì)供應(yīng)商提出要求的部分，并進(jìn)行了擴(kuò)展。本標(biāo)準(zhǔn)：主要針對(duì)六類供應(yīng)鏈（系統(tǒng)開發(fā)、產(chǎn)品供應(yīng)、運(yùn)營(yíng)運(yùn)維與安全服務(wù)、集成建設(shè)、云服務(wù)、數(shù)據(jù)服務(wù)）的供應(yīng)商在管理制度、組織機(jī)構(gòu)和人員、供應(yīng)活動(dòng)各環(huán)節(jié)中應(yīng)該具備的安全能力提出規(guī)范要求。從對(duì)象角度看，我們標(biāo)準(zhǔn)面向的對(duì)象是ICT供應(yīng)商（供方）提出要求，而不對(duì)需求方（需方）做要求。從描述粒度看，我們標(biāo)