《重要信息基础设施供应链安全检查评估规范》 —征求意见稿.pdf

ICS35.020

L70

团体标准

T/GDCSA00*—2022

重要信息基础设施供应链安全检查评估规范

Specificationforsecurityinspectionandevaluationofimportant

informationinfrastructuresupplychain

2022-00-00发布2022-00-00实施

*******发布

T/GDCSA00*—2022

前言

本文件按照 GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由***提出。

本文件由***归口。

本文件起草单位：***。

本文件主要起草人：***。

本文件为首次发布。

II

T/GDCSA00*—2022

引言

随着经济全球化和信息技术的快速发展，网络产品和服务供应链已发展为遍布全球的复杂系统，

任一产品组件、任一供应链环节出现问题，都有可能影响重要信息基础设施。保障重要基础设施安全

的一个重要方面是要确保重要信息基础设施使用的网络产品和服务的供应链安全。

2020年4月27日，国家互联网信息办公室等12个部门联合发布了《网络安全审查办法》（以下

简称审查办法），要求重要信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，

应当进行网络安全审查。审查办法作为落实《网络安全法》第三十五条提出的网络安全审查制度的重

要制度文件，将重点关注重要信息基础设施采购网络产品和服务可能带来的国家安全风险，确保重要

信息基础设施供应链安全。

重要信息基础设施供应链安全涉及了网络产品和服务从无到有再到废弃的整个生命周期，不仅包

含传统的生产、仓储、销售、交付等供应链环节，还延伸到产品的设计、开发、集成等生命周期，以

及交付后的安装、运维等过程。本文件以网络安全审查制度为基础，为重要信息基础设施供应链安全

检查评估提供标准，以确保能够建立安全可靠的重要信息基础设施供应链，保障国家产业安全、经济

安全和社会长治久安。

III

T/GDCSA00*—2022

重要信息基础设施供应链安全检查评估规范

1范围

本文件规定了重要信息基础设施供应链安全检查评估的依据与原则、评估流程、现场评估方法、评

估内容与服务输出等内容。

本文件适用于开展指导重要信息基础设施供应链安全检查评估工作，同时也适用重要信息基础设施

运营单位开展重要信息基础设施供应链安全自查评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的，凡是标注日期的引用文件，仅注明日期的版本适用于本

文件。凡是不注明日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T36637-2018信息安全技术ICT供应链安全风险管理指南

GB/T37980-2019信息安全技术工业控制系统安全检查指南

信息安全技术关键信息基础设施网络安全保护要求

T-469信息安全技术关键信息基础设施安全检查评估指南

3术语和定义

下列术语和定义适用于本文件。

3.1

重要信息基础设施critica