还剩3页未读,继续阅读
文本内容:
ICS
35.040L80中华人民共和I家标准GB/TXXXXX—XXXX信息安全技术信息技术产品供应链安全要求Informationsecuritytechnology—Securityrequirementsforsupplychainofinformationtechnologyproducts(征求意见稿)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上XXXX-XX-XX实施国家市场监督管理总局国家标准化管理委员会信息安全技术信息技术产品供应链安全要求范围本文件规定了信息技术产品供应方和需求方应满足的供应链基本安全要求本文件适用于政务信息系统、关键信息基础设施的信息技术产品供应链安全管理活动,也可为其他信息系统的供应链安全管理活动提供参考2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用文件仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T32921—2016信息安全技术信息技术产品供应方行为安全准则GB/T36637—2018信息安全技术ICT供应链安全风险管理指南3术语和定义GB/T32921—2016GB/T36637—2018界定的以及下列术语和定义适用于本文件信息技术产品informationtechnologyproduct具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统和服务注本文件中信息技术产品主要包括核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对政务信息系统、关键信息基础设施安全有重要影响的信息技术产品[来源:GB/T32921-2016定义
3.1有修改]需求方acquirer获取信息技术产品的组织注本文件中需求方主要包括政府部门和关键信息基础设施运营者[来源:GB/T36637-2018定义
3.1有修改]供应方supplier提供信息技术产品的组织注供应方主要包括信息技术产品供应商、服务提供商、系统集成商、生产商、销售商、代理商等[来源GB/T36637-2018定义
3.2有修改]信息技术产品供应链informationtechnologyproductsupplychain通过资源和过程将需求方、供应方相互链接的网链结构,用于将信息技术产品提供给需求方[来源:GB/T36637-2018定义
3.4有修改]4基本安全要求供应方安全要求供应方应a)声明不会通过在信息技术产品中设置后门,或利用提供产品的便利条件非法获取用户数据、控制和操纵用户系统和设备,不会利用需求方对信息技术产品的依赖性谋取不正当利益,不会出于市场竞争的需要强迫需求方对信息技术产品进行升级或更新换代b)承诺发现信息技术产品存在安全缺陷、漏洞等风险时,立即采取补救措施,包括但不限于漏洞修复、安全替代方案等,并及时通知合作伙伴和需求方c)对信息技术产品研发、制造过程中涉及的外国实体拥有或控制的技术专利和知识产权,获得十年以上授权d)按照GB/T36637-2018要求开展供应链安全风险评估e)建立并实施信息技术产品安全开发流程,明确开发管理要求、安全控制措施和人员行为准则等f)制定所采购的信息技术产品及部件的可追溯性策略,记录并保留信息技术产品及部件的原产地、原供应方等相关信息g)建立并实施规范的生产流程,采用访问控制、完整性和一致性校验等措施保障信息技术产品关键生产环节的安全,并对信息技术产品及部件进行唯一标识h)制定物流服务供应方、物流路线的安全策略,记录和保留信息技术产品及部件的仓储、运输和交付等状态i)在规定或者与需求方约定的期限内,不应终止提供安全维护;在需求方授权的范围内开展运行维护工作,保障信息技术产品运行维护过程中的数据安全,防止数据泄露、篡改、损毁,未经需求方同意不得向他人提供数据或将数据用于除运行维护以外的目的j)提供中文版运行维护、二次开发等技术资料需求方安全要求需求方应a)通过采购文件、协议等要求供应方符合41的要求b)建立和维护合格供应方目录,目录中的供应方应没有出现因政治、外交、贸易等因素中断信息技术产品、芯片等元器件、材料供应,停止软件授权、升级或技术支持服务的先例c)从多个国家或地区获得信息技术产品及其部件,确保来源具有多样性d)定期评估信息技术产品供应中断、停止授权、拒绝提供产品升级或技术支持服务的风险,确保供应链弹性;在约定的期限内,要求供应方提供信息技术产品供应链安全风险评估报告GB/TXXXXX—XXXX参考文献GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/TXXXXX-XXXX信息安全技术网络产品和服务安全通用要求报批稿ISO/IEC20243:2015Informationtechnology一OpenTrustedTechnologyProvider™StandardO-TTPS一MitigatingMaliciouslyTaintedandCounterfeitProductsISO/IEC27036-3Informationtechnology-Securitytechniques-Informationsecurityforsupplierrelationships—Part3:GuidelinesforICTsupplychainsecurityNISTSP800-161SupplyChainRiskManagementPracticesforFederalInformationSystemsandOrganizations。