TCIIPA 00009-2024 关键信息基础设施供应链安全要求.docxVIP

.ICS35030CCSL80

.

团 体 标 准

T/CIIPA00009—2024

关键信息基础设施供应链安全要求

Securitycapabilityrequirementsforthesupplychainofcriticalinformationinfrastructure

2025-03-07发布 2025-03-09实施

中关村华安关键信息基础设施安全保护联盟 发布

中 国 标 准 出 版 社 出版

T

T/CIIPA00009—2024

目 次

前言 Ⅲ

引言 Ⅳ

范围 1

规范性引用文件 1

术语和定义 1

CII供应链安全总体要求

供应链安全风险分析

供应链安全管控措施

供应链安全准入策略

………………2

………………2

………………2

………………2

外部组件供应链安全要求 2

CII供应链安全风险识别 3

供应方风险 3

人员风险

产品风险

服务风险

……………3

……………3

……………5

CII供应链安全管控要求 6

审查管理要求

安全管理要求

技术管控要求

人员管理要求

………………………6

………………………6

………………………7

………………………7

CII供应链安全准入要求 8

供应方准入要求 8

人员准入要求

产品准入要求

服务准入要求

………………………8

………………………9

………………………9

CII外部组件供应链安全管理 10

开源组件安全管理 10

第三方组件安全管理 10

集成和分发的安全管理 10

可追溯性管理 11

参考文献 12

Ⅰ

前 言

本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村华安关键信息基础设施安全保护联盟提出。

本文件由中关村华安关键信息基础设施安全保护联盟网络安全标准专业委员会技术归口。

本文件起草单位:中关村华安关键信息基础设施安全保护联盟、中国工商银行股份有限公司、国网思极网安科技(北京)有限公司、中国电子科技集团公司第十五研究所信息产业信息安全测评中心、中国移动通信集团有限公司、中广核数字科技有限公司、中国人民财产保险股份有限公司、中国电力科学研究院有限公司、国家工业信息安全发展研究中心、中国电信集团有限公司、教育部教育管理信息中心、中国民生银行股份有限公司、北京北信源软件股份有限公司、中国信息安全测评中心、国家广播电视总局监管中心、工信部教育考试中心、中邮信息科技(北京)有限公司、大唐科技研究总院、水利部信息中心、深圳市网安计算机安全检测技术有限公司、四川北斗弘鹏科技有限公司、北京安普诺信息技术有限公司、中科信息安全共性技术国家工程研究中心有限公司、银行卡检测中心(北京银联金卡科技有限公司)、杭州默安科技有限公司、杭州中尔网络科技有限公司、北京比瓴科技有限公司、深圳开源互联网安全技术有限公司、湖南浩基信息技术有限公司、南京众智维信息科技有限公司、成都久信信息技术股份有限公司。

本文件主要起草人:苏建明、郭启全、焦彬、逯瑶、马强、李红霞、郭智武、林皓、杨华、张松、徐建、任磊、严宗、肖红阳、马雅静、曹禹、刘阳、刘冬、胡建勋、伊鹏达、刘云、张然、吴子坚、陈军、陈大北、马禹昇、郑国忠、王雪珊、李淼、白云波、张普含、李天磊、詹丹丹、裴帅、刘健、冯莉、李炎、谭志彬、苏勇、张仕文、曹欣然、盛湘新、沈智镔、陈真玄、邱德隆、王来蒙、王文军、张涛、宁戈、李云、任航、付杰、聂万泉、孟瑾、沈锡镛、邹远辉、曾帅、刘遥、谭宇辰、冯寅轩、菅志刚、车洵。

Ⅲ

T/CIIPA00009—2024

引 言

目前,关键信息基础设施已成为国