信息与通信技术和服务供应商安全要求.docx

Q/LB.□XXXXX-XXXX

PAGE2

ICS

FORMTEXT35.240.01

CCS

FORMTEXTL78

团体标准

FORMTEXTT/CSACXXX—XXX

FORMTEXT?????

T/CSAC

信息与通信技术和服务供应商安全要求

InformationandCommunicationsTechnologyandServicesSupplierSecurityRequirements

FORMDROPDOWN

（征求意见稿）

FORMDROPDOWN

XXXX-X-XX发布

XXXX-X-XX实施

中国网络空间安全协会??发布

STYLEREF标准文件_文件编号T/CSACXXX—XXX

PAGE14

目??次

TOC\o1-2\h\u15268前言 IV

1063引言 V

28731范围 1

181422规范性引用文件 1

23883术语和定义 1

271244概述 4

305884.1评价原则 4

26554.2评价内容 4

5624.3评价流程 6

83084.4评价方法 6

120105供应商安全能力要求 7

62775.1供应商通用能力要求 7

273155.2系统开发扩展能力要求 8

75145.3产品供应扩展能力要求 9

182445.4运营运维与安全服务扩展能力要求 10

29715.5集成建设扩展能力要求 10

85175.6云服务扩展能力要求 11

321035.7数据服务扩展能力要求 11

5276供应商安全能力评价 12

60506.1供应商通用能力评价 12

246306.2系统开发扩展能力评价 20

201676.3产品供应扩展能力评价 25

157686.4运营运维与安全服务扩展能力评价 28

182456.5集成建设扩展能力评价 31

222256.6云服务扩展能力评价 34

219246.7数据服务扩展能力评价 37

305187供应商安全能力评价结果 39

12957.1评价计算方式 39

240107.2评价判定原则 40

32502参考文献 41

信息与通信技术和服务供应商安全要求

范围

本文件规定了信息与通信技术和服务供应商中六类供应商（系统开发、产品供应、运营运维与安全服务、集成建设、云服务、数据服务）在管理制度、组织机构和人员、供应活动各环节中的安全能力。

本文件适用于信息与通信技术和服务供应商中六类供应商（系统开发、产品供应、运营运维与安全服务、集成建设、云服务、数据服务）规范自身的安全能力建设，适用于网络运营者选择供应商或对其进行安全性评价时提供参考，适用于主管部门规范供应商供应链安全防护能力。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T25069-2022信息安全技术术语

GB/T36637-2018信息安全技术ICT供应链安全风险管理指南

GB/T32921-2016信息安全技术信息安全技术信息技术产品供应方行为安全准则

术语和定义

GB/T25069-2022、GB/T31167-2023、GB/T22239-2019、GB/T36637-2018以及GB/T32921-2016中界定的以及下列术语和定义适用于本文件。

供应商supplier

开发产品/服务或负责维护产品/服务的个人或者组织。

需求方demandside

有偿采购（或免费使用）外部所提供的软硬件产品或服务，以满足信息安全保障需求，实现自身业务目标的组织（或个人用户）。

软硬件供应商softwareandhardwaresupplier

开发软硬件产品/服务、负责软硬件产品/服务供应活动或为软硬件运行及应用提供服务的个人或者组织。

二级供应商secondarysupplier

直接向上级供应商提供产品/服务的个人或组织，通常提供产品/服务以支持上级供应商的产品/服务。

集成数据integratedata

将不同来源或不同系统的数据合并和整合后的数据集合，包括来自数据库、文件、传感器、应用程序等各种数据源的信息。

物理仓储physicalwarehousing

物品、产品或商品以实体形式存储的特定地点。

物流过程logisticsprocess