软件供应链安全保护能力测评规范.pdfVIP

软件供应链安全保护能力测评规范

1范围

本文件确定了供需双方组织管理和供应活动管理安全要求的测评指标、测评对象和测评实施过程和

安全保护能力评定方法。

本文件适用于指导软件供应链中的供需双方开展软件供应链安全保护能力测评、可为第三方机构提

供测评依据，也可为主管监管部门提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T43698—2024网络安全技术软件供应链安全要求

3术语和定义

GB/T25069—2022和GB/T43698—2024中界定的以及下列术语和定义适用于本文件。

3.1

供应关系supplierrelation

需方和供方之间为开展业务、提供软件产品而建立的协议、合同等契约关系。

注：在供应链中，上游的需方同时也是下游的供方。

3.2

供应活动supplyactivity

需方和供方为维持日常生产基于供应关系（3.1）进行的软件采购、开发、获取、交付、运维、废

止等活动的总称。

3.3

软件供应链softwaresupplychain

需方和供方基于供应关系（3.1），开展并完成软件采购、开发、交付、获取、运维和废止等供应

活动而形成的网链结构。

3.4

软件供应链安全图谱softwaresupplychainsecuritygraph

软件产品信息、软件物料清单、安全信息等内容及其关联关系的描述和表示。

注：一般以文本形式存储，支持通过知识图谱方式展示。

1

—

4软件供应链安全保护能力测评概述

4.1测评指标和对象

软件供应链安全保护能力测评以GB/T43698-2024中供需双方组织管理和供应活动管理的每条安全

要求作为测评指标；以测评指标涉及的人员、机构、制度、文件、软件产品等作为测评对象。

4.2测评方法

访谈：测评人员通过引导软件供应链安全保护能力测评相关人员进行有目的的交流，帮助测评人员

理解、澄清或取得证据，从而判定是否满足指标要求；

核查：测评人员通过对测评对象，如制度、文件、软件产品等进行观察、查验和分析、帮助测评人

员理解、澄清或取得证据，从而判定是否满足指标要求；

测试：测评人员使用预定的方法、工具使测评对象产生特定的结果，通过结果与预期结果比对，从

而判定是否满足测评指标要求。

4.3安全保护能力判定方法

（1）依次对每项测试指标进行判定，判定结果为符合、部分符合、不符合和不适用。

（）每条测评指标满分为分，测评实施涉及项内容的，每项内容分数为（

21n1/n)

（）判定结果为符合，该条要求得分；判定结果为部分符合，得分为符合项数乘以每项分数

31m

1/n,得分为m/n，不符合或者不涉及的指标不得分。

（）统计得分，并归一化得分区间，将最后得分作为安全保护能力的评分。

4S[0,100]

5需方软件供应链安全保护能力测评

5.1组织管理

5.1.1机构管理

5.1.1.1测评项a

a)测评指标：应明确软件供应链安全管理组织机构或人员及其职责范围，提供保障软件供应链安

全所需的资源（如有关资金、场地、人力等），并在预算管理过程中予以重点考虑。

b)测评对象：信息/网络安全主管、管理制度类文档和记录表单类文档。

c)测评实施：

1)访谈信息/网络安全主管是否成立了指导和管理软件供应链安全工作的组织机构或人员；