GB_T 36637-2018信息安全技术ICT供应链安全风险管理指南.docxVIP

ICS35.040L80

中华人民共和国国家标准

GB/T36637—2018

信息安全技术

ICT供应链安全风险管理指南

Informationsecuritytechnology—Guidelinesfortheinformationandcommunicationtechnologysupplychainriskmanagement

2018-10-10发布2019-05-01实施

国家市场监督管理总局中国国家标准化管理委员会

发布

Ⅰ

GB/T36637—2018

目次

前言 Ⅲ

引言 Ⅳ

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5概述 2

6ICT供应链安全风险管理过程 3

6.1概述 3

6.2背景分析 3

6.3风险评估 4

6.4风险处置 7

6.5风险监督和检查 7

6.6风险沟通和记录 8

7ICT供应链安全风险控制措施 8

7.1概述 8

7.2技术安全措施 8

7.3管理安全措施 10

附录A(资料性附录)ICT供应链概述 16

附录B(资料性附录)ICT供应链安全威胁 18

附录C(资料性附录)ICT供应链安全脆弱性 21

参考文献 25

Ⅲ

GB/T36637—2018

前言

本标准按照GB/T1.1—2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位:中国电子技术标准化研究院、中国科学院软件研究所、联想(北京)有限公司、华为技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴(北京)软件服务有限公司、北京京东叁佰陆拾度电子商务有限公司、中国信息通信研究院、微软(中国)有限公司、浪潮电子信息产业股份有限公司、国家信息技术安全研究中心、英特尔(中国)有限公司、北京赛西科技发展有限责任公司、阿里云计算有限公司、中国信息安全认证中心、中国科学院信息工程研究所信息安全国家重点实验室、北京工业大学、北京邮电大学、北京中电普华信息技术有限公司。

本标准主要起草人:刘贤刚、胡影、卿斯汉、叶润国、孙彦、李汝鑫、薛勇波、范科峰、王昕、白晓媛、黄少青、刘陶、赵江、杨煜东、赵丹丹、张凡、陈星、宁华、樊洞阳、陈晔、吴迪、朱红儒、杨震、马占宇、曹占峰。

Ⅳ

GB/T36637—2018

引言

随着信息通信技术的普及应用,加强ICT供应链的安全可控保障变得至关重要。目前,世界各国和ICT行业已普遍认识到,相比传统行业ICT行业供应链更加复杂,存在安全风险的概率更大。加强ICT供应链安全管理,可增强客户对ICT供应链以及ICT行业的安全信任。

与传统供应链相比,ICT供应链具有许多不同的特点,例如:ICT供应链涵盖ICT产品和服务的全生命周期,不仅包括传统供应链的生产、集成、仓储、交付等供应阶段,也包括产品服务的设计开发阶段和售后运维阶段;ICT产品由全球分布的供应商开发、集成或交付,供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降;传统供应链主要关注如何将产品有效地交付给客户,或者供应链健壮性的强度,而ICT供应链安全更关注是否会有额外的功能注入产品和服务中,交付的产品和服务是否与预期一致等。这些特点使得ICT供应链比传统供应链存在更多的安全风险,加强ICT供应链的安全风险管理刻不容缓。

本标准不规范信息技术产品供应方的安全行为准则。推荐在关键信息基础设施或重要信息系统中使用本标准。然而,由于个别需要和相关性,组织可选择将标准应用到其他系统或特定组织,不过应用本标准的控制措施可能会增加组织和外部供应商的潜在成本,需要组织在成本和风险间进行权衡。

1

GB/T36