T∕TAF 073-2020 网络产品供应链安全要求.docx

ICS33.050M30

团体标准

T/TAF073-2020

网络产品供应链安全要求

Securityrequirementsfornetworkproductsupplychain

2020-09-10发布2020-09-10实施

电信终端产业协会发布

I

T/TAF073-2020

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4概述 2

5网络产品供应链基础设施安全要求 3

6网络产品供应链环节安全要求 4

参考文献 8

T/TAF073-2020

II

前言

本标准对网络产品的生产者供应链安全提出要求。网络产品的生产者在构建本组织的供应链安全管理体系时可参考本标准。

标准按照GB/T1.1-2009给出的规则起草。

本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。

本标准由电信终端产业协会提出并归口。

本标准起草单位：中国信息通信研究院、华为技术有限公司、联想（北京）有限公司、中兴通讯股份有限公司、中国信息通信科技集团、杭州迪普科技股份有限公司。

本标准主要起草人：倪平、张治兵、薛勇波、李汝鑫、吴萍、段伟伦、仇俊杰、陈鹏、刘微、周继华、韩晓露、郝圣阳。

T/TAF073-2020

III

引言

随着经济全球化发展，信息系统的运行依赖于分布在全球相互联系的供应链生态系统，供应链安全对国家经济增长和网络安全的重要性不断凸显。供应链安全管理是保障产业健康有序发展的重要举措。

网络产品供应链覆盖网络产品整个生命周期，从设计研发、生产、交付到运维直至废弃，每一个环节都可能涉及到第三方，如供货商、集成商、服务商等，因此每一个环节都应该提出相关的供应链安全要求。同时，每个环节都会涉及到对制度、人员、信息系统等要求，以上支撑了整个供应链安全管理的落实。

本标准是对组织自身的供应链管理提出的安全要求，组织可根据本标准中的安全要求，构建本组织的供应链安全管理体系，以提高本组织的供应链安全。

T/TAF073-2020

1

网络产品供应链安全要求

1范围

本标准对网络产品在管理制度、组织机构和人员、信息系统等以及设计与研发、采购、生产、仓储、交付、运维等供应链环节提出了不同等级的安全要求。

本标准适用于重要信息系统和关键信息基础设施中网络产品的提供者对供应链进行安全管理，也适

用于指导网络产品提供者加强供应链安全管理，同时可为网络产品的采购者和第三方机构对网络产品进行安全性评价时提供参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

GB/T18354-2006物流术语

GB/T36637-2018信息安全技术ICT供应链安全风险管理指南

3术语和定义

3.1

网络network

是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

3.2

网络产品networkproduct

是指作为网络组成部分以及维持网络功能的设备、软件等。

3.3

供应链supplychain

通过多个资源和过程联系在一起的一系列组织，根据由服务协议或其他采购协议建立连续的供应关系，每个组织充当一个需求方、提供方或双重角色。

T/TAF073-2020

2

3.4

供应链基础设施supplychaininfrastructure

由组织内的硬件、软件和制度流程等构成的集合，用于构建产品和服务的设计、开发、生产、集成、仓储、交付、运维等网络产品供应链声明周期的环境。

3.5

可追踪性traceability

允许在整个供应链中跟踪身份、过程或元素的特性。

3.6

需求方

需求方acquirer

获得或采购产品或服务的利益相关者，也可简称需方，在本标准中指网络产品的采购方或使用方。

3.7

供应商supplier

与需求方签订协议以提供产品或服务的组织或个人。这包括供应链中的所有供应商。包括（1）信息系统、系统部件或软硬件产品的开发者或生产者；（2）货架产品供应商；（3）产品经销商；（4）提供运维等服务的服务商等。

3.8

采购purchase

指组织在一定的条件下从供应市场获取产品或服务作为组织资源，以保证组织生产及经营活动正常开展的一项经营活动。

3.9