《重要信息基础设施供应链安全检查评估规范》—编写说明.pdf

团体标准《重要信息基础设施供应链安全检查

评估规范》编制说明

一、工作简况

1.1任务来源

《重要信息基础设施供应链安全检查评估规范》由广东关键信息

基础设施保护中心作为提出单位。该标准由北京网络空间安全协会和

广东省网络空间安全协会归口管理。

1.2主要起草单位和工作组成员

本标准由广东关键信息基础设施保护中心牵头，网安联认证中心

有限公司、广东新兴国家网络安全和信息化发展研究院等多家单位共

同参与编制。

1.3主要工作过程

（1）2022年1-3月，组织参与本标准编写的人员召开项目启动

会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协

作单位的相关意见。

（2）2022年4-5月，编制组召开组内研讨会并结合充分的调研

结果，参考各类国家标准和相关政策文件，形成标准草案第一稿，后

期经内部多次讨论研究，形成第二稿。

（3）2022年5月，编制组召开组内研讨会，基于前期成果，经

多次内部讨论研究，组织完善草案内容，形成征求意见稿。

二、标准编制原则和标准编制详细说明及解决的主要问题

1/5

2.1编制原则

本标准的研究与编制工作遵循以下原则：

（1）符合性原则

本标准符合法律法规和强制性标准要求,不损害人身健康和生命

财产安全、国家安全、生态环境安全，符合国家相关主管部门的要求。

（2）实用性原则

本标准规范是对实际工作成果的总结与提升，保持整体结果合理

且维持原意和功能不变，针对不同的用户群体，做到可操作、可用与

实用。

2.2文档结构

《重要信息基础设施供应链安全检查评估规范》标准文档分为前

言、范围、规范性引用文件、术语和定义、检查评估的依据与原则、

评估流程、现场评估方法、评估内容与服务输出等部分。

2.3整体格式

整体格式根据GB/T1.1-2020《标准化工作导则第1部分：标

准化文件的结构和起草规则》的相关要求，对本标准的各要素进行编

写和排版。

在标准内容汇总过程中，对各编写组成员提交过来的部分，根据

GB/T1.1-2020的编写要求进行了必要的增删改，以确保符合一致性、

协调性、易用性等文件的表述原则及相关规定。

2.4标准名称英文翻译

标准的名称“重要信息基础设施供应链安全检查评估规范”翻译

2/5

为Specificationforsecurityinspectionandevaluationof

importantinformationinfrastructuresupplychain。

2.5术语和定义

术语和定义中所列的术语的英文翻译，根据各部分编写成员提供

的术语，如有类似术语的标准，参考了其翻译，没有类似术语标准翻

译的，通过百度翻译和谷歌翻译后进行对比，并参考网络相关翻译后

进行确定。

2.6评估依据与原则

本章主要阐述了重要信息基础设施供应链安全检查评估的依据

与原则，评估依据包括遵循网络安全、网络安全审查相关法律法规，

依照相关要求及标准规范等；评估原则遵循标准性原则、规范性原

则、完整性原则、保密性原则和最小影响原则。

2.7安全检查评估流程

本章介绍了重要信息基础设施供应链安全检查评估的评估范围、

目的和实施流程。

安全检查的评估范围是基于重要信息基础设施开展网络产品和

服务全生命周期评估，从产品测评、产品认证、供应商评估、安全审

查等多项措施强化供应链安全管理。

安全检查的评估旨在帮助企业了解其供应商，发现可能的第三方

风险及自身管理缺陷问题，并提出相应的整改建议，加强供应链安全

管理，防范供应链风险。

安全检查评估流程首先需进行前期沟通与资料收集，做好评估前

3/5

的坏境准备等工作。然后进行现场评估，包括技术检测和管理评估两

个方面。根据现场评估情况对产品安全技术检测和安全管理自查结果

梳理，整理风险点列表，出具相关报告。

最后会为企业提供协助整改与监督检查支持帮助。