GB/T 36637-2018信息安全技术　ICT供应链安全风险管理指南.pdf

ICS 35.040 L 80 国 中华人民共和国国家标准 GB/T 36637-2018 信息安全技术 ICT 供应链安全风险管理指南 Information security technology-Guidelines for the information and communication technology supply chain risk management 2019-05-01 实施 2018-10-10 发布 国家市场监督管理总局啦告 中国国家标准化管理委员会保叩 GB/T 36637-2018 目 次 ill 引言 ……………………………………………………………………………………………… lV 1 范围 …· 2 规范性引用文件 …………· 3 术语和定义 ………·· 4 缩略语 …………………………………………………………………………………………………… 2 5 概述 ………………………… 6 JCT 供应链安全风险管理过程 ……………………· 6. 1 概述 6.2 背景分析 6.3 风险评估 …………………………………………………………………………………………… 4 6.4 风险处置 6 .5 风险监督和检查 6.6 风险沟通和记录 …………………………………………………………………………………… 8 7 JCT 供应链安全风险控制措施 …．．． ． ． 7 . 1 概述 7.2 技术安全措施 7.3 管理安全措施……………………………………·· 附录 A（资料性附录） JCT 供应链概述 ………………………………………………………………… 16 附录肌资料性附录） JCT 供应链安全威胁 …………………………………………………………… 四 附录 C（资料性附录） JCT 供应链安全脆弱性 ……………………………………… ..…………· 21 参考文献 ……………………………………………………………………… 25 I GB/T 36637-20 18 d) 参考供应链或网络安全相关标准规范， 判断己实施的安全措施是否满足相关标准规范要求。 6.3.3 凤险分析 风险分析包括可能性分析、后果分析和风险估算。 可能性是威胁利用脆弱性导致安全事件发生的概率。 可能性分析应从两个角度进行： 一是ICT 供 应链本身受到损害的可能性，例如可能影响关键组件使用或增加I 知识产权被窃取风险； 二是供应链内的 产品、服务、系统、组件受到损害的可能性，例如系统被植入恶意代码或组件被电击损坏。 后果分析针对已识别的 ICT 供应链安全事件，分析事件的潜在影响。 组织宜从资产的重要性，引 发安全事件的威胁来源的特征，已识别的脆弱性，现有或己计划安全措施反映出的组织对事件的敏感性 等方面进行后果分析。 风险估算为ICT 供应链安全风险的可能性和后果赋值，风险估算应基于可能性分析和后果分析的 结论进行。 6.3.4 风险评价 风险评价将风险估算结果与风险评价准则和风险接受准则比较，输出依据风