国家标准《信息安全技术ICT供应链安全风险管理指南》草案编制说明.pdfVIP

国家标准《信息安全技术ICT供应链安全风险管理指南》

（草案）编制说明

一、工作简况

1.1任务来源

本项目为2012年的标准编制项目，名为“信息安全技术ICT供应链安全风

险管理指南”（以下简称《供应链指南》），计划号为T-469。该标

准规定了ICT供应链安全风险管理的过程和控制措施。

本项目由中国电子技术标准化研究院负责具体实施，参与起草单位包括中国

科学院软件研究所、华为技术有限公司、联想（北京）有限公司、浙江蚂蚁小微

金融服务集团股份有限公司、阿里巴巴（北京）软件服务有限公司、北京京东叁

佰陆拾度电子商务有限公司、中国信息通信研究院、浪潮电子信息产业股份有限

公司、微软（中国）有限公司、国家信息技术安全研究中心、英特尔（中国）有

限公司、阿里云计算有限公司、中国信息安全认证中心、清华同方计算机有限公

司、中国科学院信息工程研究所信息安全国家重点实验室。

1.2主要工作过程

1.2012年3月，成立标准编制组

考虑到信息通信技术产品和服务的产业现状，标准编制组广泛吸收了国内的

研究机构、第三方测评机构、信息通信技术企业参与到标准研制工作，同时按照

相关程序，接受了部分国外企业作为观察成员，参与标准研制过程。

2.2012年4月至2013年6月，调研国内外供应链安全标准现状

研究现有国内外供应链安全相关标准，分析各自特点，学习借鉴，主要包括：

1）《供应链风险管理指南》（GB/T24420）

2）《信息技术安全技术信息安全风险管理》（GB/T31722，即ISO/IEC

27005）

3）《信息安全技术信息安全风险管理指南》（GB/Z24364）

4）《信息安全技术信息安全风险评估规范》（GB/T20984）

5）《信息安全技术信息安全风险评估实施指南》（GB/T31509）

6）《信息技术安全技术信息安全管理实用规则》（GB/T22081，即ISO/IEC

11

27002）

7）《信息安全技术云计算服务安全能力要求》（GB/T31168）

8）《信息安全技术信息系统安全等级保护基本要求》（GB/T22239）

9）《信息安全技术政府部门信息安全管理基本要求》（GB/T29245）

10）《信息安全技术信息技术产品供应方行为安全准则》（GB/T32921）

11）《Informationtechnology-Securitytechniques-Codeof

practiceforInformationsecuritycontrols》(ISO/IEC27002)

12）《Informationtechnology-Securitytechniques-Information

securityforsupplierrelationships》（ISO/IEC27036）

13）《Systemsandsoftwareengineering-Systemsandsoftware

assurance》（ISO/IEC15026）

14）《InformationTechnology-OpenTrustedTechnologyProviderTM

Standard(O-TTPS)-Mitigatingmaliciouslytaintedandcounterfeit

products》（ISO/IEC22043）

15）《SupplyChainRiskManagementPracticesforFederal

InformationSystemsandOrganizations》（NISTSP800-161