- 1、本文档共25页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
软件供应链安全保护能力测评规范
1范围
本文件确定了供需双方组织管理和供应活动管理安全要求的测评指标、测评对象和测评实施过程和
安全保护能力评定方法。
本文件适用于指导软件供应链中的供需双方开展软件供应链安全保护能力测评、可为第三方机构提
供测评依据,也可为主管监管部门提供参考。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T25069—2022信息安全技术术语
GB/T43698—2024网络安全技术软件供应链安全要求
3术语和定义
GB/T25069—2022和GB/T43698—2024中界定的以及下列术语和定义适用于本文件。
3.1
供应关系supplierrelation
需方和供方之间为开展业务、提供软件产品而建立的协议、合同等契约关系。
注:在供应链中,上游的需方同时也是下游的供方。
3.2
供应活动supplyactivity
需方和供方为维持日常生产基于供应关系(3.1)进行的软件采购、开发、获取、交付、运维、废
止等活动的总称。
3.3
软件供应链softwaresupplychain
需方和供方基于供应关系(3.1),开展并完成软件采购、开发、交付、获取、运维和废止等供应
活动而形成的网链结构。
3.4
软件供应链安全图谱softwaresupplychainsecuritygraph
软件产品信息、软件物料清单、安全信息等内容及其关联关系的描述和表示。
注:一般以文本形式存储,支持通过知识图谱方式展示。
1
—
4软件供应链安全保护能力测评概述
4.1测评指标和对象
软件供应链安全保护能力测评以GB/T43698-2024中供需双方组织管理和供应活动管理的每条安全
要求作为测评指标;以测评指标涉及的人员、机构、制度、文件、软件产品等作为测评对象。
4.2测评方法
访谈:测评人员通过引导软件供应链安全保护能力测评相关人员进行有目的的交流,帮助测评人员
理解、澄清或取得证据,从而判定是否满足指标要求;
核查:测评人员通过对测评对象,如制度、文件、软件产品等进行观察、查验和分析、帮助测评人
员理解、澄清或取得证据,从而判定是否满足指标要求;
测试:测评人员使用预定的方法、工具使测评对象产生特定的结果,通过结果与预期结果比对,从
而判定是否满足测评指标要求。
4.3安全保护能力判定方法
(1)依次对每项测试指标进行判定,判定结果为符合、部分符合、不符合和不适用。
()每条测评指标满分为分,测评实施涉及项内容的,每项内容分数为(
21n1/n)
()判定结果为符合,该条要求得分;判定结果为部分符合,得分为符合项数乘以每项分数
31m
1/n,得分为m/n,不符合或者不涉及的指标不得分。
()统计得分,并归一化得分区间,将最后得分作为安全保护能力的评分。
4S[0,100]
5需方软件供应链安全保护能力测评
5.1组织管理
5.1.1机构管理
5.1.1.1测评项a
a)测评指标:应明确软件供应链安全管理组织机构或人员及其职责范围,提供保障软件供应链安
全所需的资源(如有关资金、场地、人力等),并在预算管理过程中予以重点考虑。
b)测评对象:信息/网络安全主管、管理制度类文档和记录表单类文档。
c)测评实施:
1)访谈信息/网络安全主管是否成立了指导和管理软件供应链安全工作的组织机构或人员;
您可能关注的文档
- 轨道交通车辆用铝合金锻件技术条件.pdf
- 轨道交通LED信号显示设备技术条件.pdf
- 工业互联网平台 应用水平评价指南.pdf
- 钢轨廓形打磨验收规范.pdf
- 地理标志证明商标 平利女娲茶第一部分:绿茶.pdf
- 道岔廓形打磨技术规范.pdf
- 城市轨道交通节段预制悬拼连续U形梁施工技术规程.pdf
- 超高韧性水泥基复合材料技术规范.pdf
- 保健用品生产质量管理规范.pdf
- 八仙花生产技术规范.pdf
- 第十一章 电流和电路专题特训二 实物图与电路图的互画 教学设计 2024-2025学年鲁科版物理九年级上册.docx
- 人教版七年级上册信息技术6.3加工音频素材 教学设计.docx
- 5.1自然地理环境的整体性 说课教案 (1).docx
- 4.1 夯实法治基础 教学设计-2023-2024学年统编版九年级道德与法治上册.docx
- 3.1 光的色彩 颜色 电子教案 2023-2024学年苏科版为了八年级上学期.docx
- 小学体育与健康 四年级下册健康教育 教案.docx
- 2024-2025学年初中数学九年级下册北京课改版(2024)教学设计合集.docx
- 2024-2025学年初中科学七年级下册浙教版(2024)教学设计合集.docx
- 2024-2025学年小学信息技术(信息科技)六年级下册浙摄影版(2013)教学设计合集.docx
- 2024-2025学年小学美术二年级下册人美版(常锐伦、欧京海)教学设计合集.docx
文档评论(0)