GB-T 36637-2018 信息安全技术 ICT供应链安全风险管理指南.pdf

《GB-T 36637-2018 信息安全技术 ICT供应链安全风险管理指南.pdf》由会员分享，可在线阅读，更多相关《GB-T 36637-2018 信息安全技术 ICT供应链安全风险管理指南.pdf（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、书 书 书犐 犆犛 犔 中 华 人 民 共 和 国 国 家 标 准犌犅犜 信息安全技术犐 犆犜供应链安全风险管理指南犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犌狌 犻 犱 犲 犾 犻 狀 犲 狊犳 狅 狉狋 犺 犲犻 狀 犳 狅 狉犿犪 狋 犻 狅 狀犪 狀 犱犮 狅犿犿狌 狀 犻 犮 犪 狋 犻 狅 狀狋 犲 犮 犺 狀 狅 犾 狅 犵 狔狊 狌 狆 狆 犾 狔犮 犺 犪 犻 狀狉 犻 狊 犽犿犪 狀 犪 犵 犲犿犲 狀 狋 发布 实施国 家 市 场 监 督 管 理 总 局中国国家标准化管理委员会发 布书 书 书目次前言引言范围

2、规范性引用文件术语和定义缩略语概述 供应链安全风险管理过程 概述 背景分析 风险评估 风险处置 风险监督和检查 风险沟通和记录 供应链安全风险控制措施 概述 技术安全措施 管理安全措施 附录（资料性附录）供应链概述 附录（资料性附录）供应链安全威胁 附录（资料性附录）供应链安全脆弱性 参考文献 犌犅犜 前言本标准按照 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（）提出并归口。本标准起草单位：中国电子技术标准化研究院、中国科学院软件研究所、联想（北京）有限公司、华为技术有限公司、浙江蚂蚁小微金融服务集团股份有

3、限公司、阿里巴巴（北京）软件服务有限公司、北京京东叁佰陆拾度电子商务有限公司、中国信息通信研究院、微软（中国）有限公司、浪潮电子信息产业股份有限公司、国家信息技术安全研究中心、英特尔（中国）有限公司、北京赛西科技发展有限责任公司、阿里云计算有限公司、中国信息安全认证中心、中国科学院信息工程研究所信息安全国家重点实验室、北京工业大学、北京邮电大学、北京中电普华信息技术有限公司。本标准主要起草人：刘贤刚、胡影、卿斯汉、叶润国、孙彦、李汝鑫、薛勇波、范科峰、王昕、白晓媛、黄少青、刘陶、赵江、杨煜东、赵丹丹、张凡、陈星、宁华、樊洞阳、陈晔、吴迪、朱红儒、杨震、马占宇、曹占峰。犌犅犜 引言随着信息通信技

4、术的普及应用，加强 供应链的安全可控保障变得至关重要。目前，世界各国和 行业已普遍认识到，相比传统行业 行业供应链更加复杂，存在安全风险的概率更大。加强 供应链安全管理，可增强客户对 供应链以及 行业的安全信任。与传统供应链相比，供应链具有许多不同的特点，例如：供应链涵盖 产品和服务的全生命周期，不仅包括传统供应链的生产、集成、仓储、交付等供应阶段，也包括产品服务的设计开发阶段和售后运维阶段；产品由全球分布的供应商开发、集成或交付，供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降；传统供应链主要关注如何将产品有效地交付给客户，或者供应链健壮性的强度，而 供应链安全更关注是否

5、会有额外的功能注入产品和服务中，交付的产品和服务是否与预期一致等。这些特点使得 供应链比传统供应链存在更多的安全风险，加强 供应链的安全风险管理刻不容缓。本标准不规范信息技术产品供应方的安全行为准则。推荐在关键信息基础设施或重要信息系统中使用本标准。然而，由于个别需要和相关性，组织可选择将标准应用到其他系统或特定组织，不过应用本标准的控制措施可能会增加组织和外部供应商的潜在成本，需要组织在成本和风险间进行权衡。犌犅犜 信息安全技术犐 犆犜供应链安全风险管理指南范围本标准规定了信息通信技术（以下简称）供应链的安全风险管理过程和控制措施。本标准适用于重要信息系统和关键信息基础设施的 供方和运营者对

6、 供应链进行安全风险管理，也适用于指导 产品和服务的供方和需方加强供应链安全管理，同时还可供第三方测评机构对 供应链进行安全风险评估时参考。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。信息安全技术术语 信息技术安全技术信息安全风险管理术语和定义 和 界定的以及下列术语和定义适用于本文件。犐 犆犜需方犐 犆犜犪 犮 狇 狌 犻 狉 犲 狉从其他组织获取 产品和服务的组织或个人。注：获取可能涉及或不涉及资金交换。注：重要信息系统和关键信息基础设施的运营者，通常是从 供方获取

7、网络产品和服务的 需方。犐 犆犜供方犐 犆犜狊 狌 狆 狆 犾 犻 犲 狉提供 产品和服务的组织。注：供方也可称供应商、供应方。注：供方可以是内部的或外部的组织。注：供方包括产品供应商、服务提供商、系统集成商、生产商、销售商、代理商等。供应关系狊 狌 狆 狆 犾 犻 犲 狉狉 犲 犾 犪 狋 犻 狅 狀在需方和供方之间的协议，可用于开展业务，提供产品和服务，实现商业收益。注：需方和供方可以是同一个机构。注：在供应链中，上游机构的需方同时也是下游机构的供方。终端客户可以理解为一种特殊的需方。犐 犆犜供应链犐 犆犜狊 狌 狆 狆 犾 狔犮 犺 犪 犻 狀 产品和服务的供应链，是指为满足供应关系通过

8、资源和过程将需方、供方相互连接的网链结构，可用于将 的产品和服务提供给需方。犌犅犜 供应链安全风险狊 狌 狆 狆 犾 狔犮 犺 犪 犻 狀狊 犲 犮 狌 狉 犻 狋 狔狉 犻 狊 犽供应链安全威胁利用供应链管理中存在的脆弱性导致供应链安全事件的可能性，及其由此对组织造成的影响。供应链安全风险管理狊 狌 狆 狆 犾 狔犮 犺 犪 犻 狀狊 犲 犮 狌 狉 犻 狋 狔狉 犻 狊 犽犿犪 狀 犪 犵 犲犿犲 狀 狋指导和控制组织与供应链安全风险相关问题的协调活动。犐 犆犜供应链生命周期犐 犆犜狊 狌 狆 狆 犾 狔犮 犺 犪 犻 狀犾 犻 犳 犲犮 狔 犮 犾 犲 产品和服务从无到有直至废弃的全生命

9、周期涉及的供应链活动。注：供应链通常以 产品和服务的设计为起点，经过开发、生产、集成、仓储、交付等环节将产品和服务交付给需方，并对产品和服务进行运维等直至其废弃。犐 犆犜供应链基础设施犐 犆犜狊 狌 狆 狆 犾 狔犮 犺 犪 犻 狀犻 狀 犳 狉 犪 狊 狋 狉 狌 犮 狋 狌 狉 犲由组织内的硬件、软件和制度流程等构成的集合，用于构建产品和服务的设计、开发、生产、集成、仓储、交付、运维、废弃等 供应链生命周期的环境。注：供应链基础设施，主要包括组织内部支撑 供应链生命周期的信息系统和物理设施，如供应链管理信息系统、采购管理系统、软件开发环境、零部件生产车间、产品仓库等。注：供应链信息系统，属

10、于 供应链基础设施，是由计算机、其他信息终端、相关设备、软件和数据等组成的，按照一定的规则和程序支撑产品和服务的开发、生产、集成、仓储、交付、运维、废弃等供应链生命周期的系统。缩略语下列缩略语适用于本文件。信息通信技术（）概述 供应链是一个全球分布的，具有供应商多样性、产品服务复杂性、全生命周期覆盖性等多维特点的复杂系统，相关说明参见附录。本标准主要对重要信息系统和关键信息基础设施的 供方管理其供应链安全风险进行规范，而关键信息基础设施的运营者也可在自身安全风险管理中考虑供应链安全风险管理。供应链相比传统供应链面临更多的安全风险，宜加强对 供应链安全风险管理，重点实现以下目标：）完整性：保障在

11、 供应链所有环节中，产品和服务及其所包含的组件、部件、元器件、数据等不被植入、篡改、替换和伪造。）保密性：保障 供应链上传递的信息不被泄露给未授权者。）可用性：保障需方对 供应链的使用。一方面，确保 供应链按照与需方签订的协议能够正常供应，不易被人为或自然因素中断，即可供应性；另一方面，即使在 供应链部分失效时，仍能保持连续供应且快速恢复到正常供应状态的能力，即弹性。）可控性：保障需方对 产品和服务或供应链的控制能力。可控性包括：供应链可追溯性，即一旦 供应链发生问题，可以有效识别出现问题的环节、供应商和组件，并可进行追溯或修犌犅犜 复；可控性，也包括需方对供应链信息的理解或透明度、用户对自己

12、数据的支配能力、用户对自己所拥有和使用产品的控制能力、用户对使用产品和服务的选择权和产品和服务的行为与合同协议相符等。本标准涉及密码算法的相关内容，按国家有关法规实施；涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。犐 犆犜供应链安全风险管理过程 概述 供应链安全风险管理过程由背景分析（）、风险评估（）、风险处置（）、风险监督和检查（）、风险沟通和记录（）五个步骤组成，见图。组织宜按照 的规定建立 供应链风险管理过程，也可将 供应链安全风险管理分散到对 供应链生命周期各环节、供应链基础设施、外部供应商的风险管理活动中。图犐 犆犜供应链安全风险管理过

13、程 背景分析 供应链安全风险管理是组织整体风险管理的组成部分，组织宜结合实际情况建立 供应链安全风险管理的背景，包括基本准则、范围边界和风险约束等。其中，基本准则是 供应链安全风险管理需要遵循的准则，如风险评价准则、影响准则、风险接受准则等；范围边界宜明确供应链管理涉及的供应商、供应链基础设施、产品服务组件等；风险约束宜确定执行 供应链安全风险管理活动需满足的约束，包括组织约束和 供应链约束。宜考虑以下因素以建立背景：）组织战略、业务目标、职能架构；）组织流程（安全方面、质量方面等）；）组织的整体风险管理方法、安全策略、信息安全方针；）基于组织战略的 供应链风险管理业务目标、职能架构、组织流程

14、、供应链结构；）供应链风险管理策略，包括但不限于购置、采购、信息安全、质量、物流等内容；）供应链内部和外部利益相关者及其价值观和风险偏好；犌犅犜 ）供应商信息，包括资质、信用、支付能力、管理状况、地理分布、合作历史等；）供应链在资金、时间、人力、过程、系统和技术等方面的能力和约束；）供应链基础设施、信息流和决策过程；）供应链管理的历史数据；）适用的法律法规。风险评估 概述组织在进行背景分析后，可开展风险评估，对 供应链面临的安全风险进行风险识别（）、风险分析（）和风险评价（）。风险评估可多次迭代直至结果满足要求。风险识别 资产识别组织宜识别 供应链的关键资产，此类资产对组织的业务功能有直接影响

15、，一旦被禁用或受损，可能导致组织的产品和服务失效或质量下降。宜考虑以下因素以识别关键资产：）组织的关键业务；）对业务至关重要的系统、组件（硬件、软件和固件）、功能和流程；）依赖性分析和评估，确定可能需要在系统架构中进行加固的组件和功能；）关键系统、组件、功能、信息的获取和审核，例如其制造或开发位置、物理和逻辑交付路径、与关键组件相关的信息流等；）将已识别的关键组件与 供应链信息、历史数据和系统开发生命周期相关联，以确认 供应链关键路径；）关键功能依赖的功能，如软件补丁使用的数字签名技术等；）对所有接入点的确认，识别并限制对关键功能、组件的直接访问（如最小特权执行）；）在系统生命周期内可能发生的

16、恶意变更。威胁识别 威胁来源识别 供应链安全威胁见表，主要来源于环境因素、供应链攻击和人为错误。其中，环境因素是由环境原因造成的供应链安全问题。供应链攻击是攻击者通过供应链发起的网络或物理攻击。供应链的设计、开发、生产、集成、仓储、交付、运维、废弃等任意环节都可能遭受此类攻击。人为错误，是指由于内部人员、供应商人员安全意识不足，没有遵循供应链安全规章制度和操作流程而导致的安全问题。表犐 犆犜供应链安全威胁来源类型示例环境因素静电、灰尘、潮湿、鼠蚁虫害、电磁干扰、洪灾、地震、台风、意外事故等环境危害或自然灾害；软件、硬件、数据、通讯线路、电力、云计算平台等基础设施的故障；贸易管制、限制销售、知识

17、产权等国际环境因素；罢工等人为突发事件犌犅犜 表（续）类型示例供应链攻击假冒伪造者假冒伪造者试图获取和销售 伪造组件用于盈利，特别是假冒伪劣者寻找处理机构、购买库存积压产品，获得 组件的设计蓝图，通过灰色销售渠道提供给购买者恶意攻击者恶意攻击者试图渗透或中断 供应链，植入恶意功能或进行未授权访问，来收集信息或造成损坏商业间谍商业间谍等针对供应链或产品和服务、产品和服务的组件等发起网络或物理攻击，窃取知识产权等敏感信息，破坏业务操作或系统内部人员不满的或有预谋的内部人员对产品服务进行恶意篡改、植入、替换、伪造或者破坏；采用自主或内外勾结的方式盗窃软件代码、设计文档等知识产权信息销售或转移给竞争对

18、手或外部情报机构，以获取利益供应商人员供应商人员利用供应链管理的脆弱性，从 供应链的开发、生产、交付、销售、维护、返回等环节，对 供应链进行恶意攻击，或对产品的上游组件进行恶意篡改或伪造人为错误内部人员、供应商人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致 供应链基础设施故障，及由其引发的供应链中断 威胁类型识别组织宜识别 供应链可能面临的安全威胁，典型的 供应链安全威胁见表，主要包括：恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作和其他威胁。威胁类型的更多信息参见附录。表犐 犆犜供应链安全威胁类型描述示例恶意篡改在 供应链的设计、开发、采购、生产、仓储、物流、销售、维护、返回等某

19、一环节，对 产品或上游组件进行恶意篡改、植入、替换等，以嵌入包含恶意逻辑的软件或硬件恶意程序、硬件木马、外来组件被篡改、未经授权的配置、供应信息篡改假冒伪劣 产品或上游组件存在侵犯知识产权、质量低劣等问题不合格产品、未经授权的生产、假冒产品供应中断由于人为或自然的原因，造成 产品和服务的供应量或质量下降，甚至出现 供应链中断或终止人为或自然的突发事件中断、基础设施故障、国际环境影响、不正当竞争行为、不被支持的组件信息泄露 供应链上传递的敏感信息被非法泄露供应链的共享信息、商业秘密泄露违规操作 供方的违规操作行为供应商违规收集或使用用户数据、滥用大数据分析、非法远程控制用户产品、影响市场秩序其他

20、威胁 供应链的全球分布性为供应链安全带来了新的威胁或挑战需方安全风险控制能力下降、法律法规差异性挑战、全球化供应链管理挑战 脆弱性识别 供应链脆弱性是在产品和服务的设计、开发、生产、集成、仓储、交付、运维、废弃等任意供应链环节能被威胁利用的缺陷。脆弱性是资产本身的特性，仅被威胁利用时会产生危害，没有相应威胁时可犌犅犜 能不需要实施控制措施，但宜关注和监视其变化。供应链脆弱性既包括产品和服务在其生命周期内的脆弱性，也包括 供应链脆弱性。供应链脆弱性可能存在于：）产品和服务生命周期中的系统或组件；）直接影响系统生命周期的开发和运维环境；）运输 产品或组件的物流和交付环境，包括逻辑或物理的。脆弱性识

21、别宜围绕 供应链关键资产展开，针对每一项需要保护的资产，识别可能被威胁利用的脆弱性，并对其严重程度进行评估。供应链脆弱性示例见表，详细的脆弱性信息参见附录。脆弱性识别时需要特别关注能使攻击者获得供应链敏感信息、植入恶意组件、触发系统运行故障、访问关键功能依赖的支撑或关联组件的脆弱性。表犐 犆犜供应链脆弱性类型子类示例供应链生命周期的脆弱性开发阶段脆弱性 产品和服务在设计、开发阶段可能存在安全隐患，如：产品和服务设计时未对安全需求、安全威胁进行分析，开发时未遵循安全开发流程，没有建立完善的配置管理控制产品或组件的变更，没有适当的操作流程来检测伪造品、替换零件，合作或外包开发没有明确安全要求，第三

22、方软件使用前没有进行安全检查等供应阶段脆弱性 产品和服务在生产、集成、仓储、交付等供应阶段可能存在安全隐患，如：采购时无法识别被篡改或伪造的组件，生产环境的物理安全访问控制不严，采用了不可靠或不安全的仓储商，运输时产品被植入、篡改或替换，供应商未经授权私自预装程序等运维阶段脆弱性 产品和服务在运维阶段可能存在安全隐患，如：产品返回维修时被植入、篡改或替换，缺乏对安全漏洞的应急响应能力，售后人员盗窃用户数据等供应链基础设施的脆弱性供应链管理脆弱性由于 供应链安全管理缺乏或管理不严，可能存在安全隐患，如：未完全建立供应链安全管理制度和流程，缺乏供应链安全责任部门和人员，在选择供应商时未考虑网络安全

23、要求，没有对供应商的绩效和安全风险进行定期评估，缺乏对外包项目、外包人员的安全规定等供应链信息系统脆弱性组织的 供应链信息系统，可能存在安全隐患，如：未对供应商访问供应链相关信息进行访问控制，个人信息保护未满足相关法规标准要求，未对个人信息访问和使用进行控制，供应链信息不透明或阻塞，信息系统存在漏洞等 上下游脆弱性供应链、供应商安全能力参差不齐，供应链整体安全水平不高，如：一些供应商的产品安全标准和供应链安全管理流程缺乏，也有的供应商不能及时发现安全缺陷并进行修复和响应等；由于上游供应商安全能力不足、产品市场被部分企业垄断、部分下游供应商安全检测能力有限、长期合作独家供应商造成依赖等原因，导致

24、下游供应商难以控制和追溯上游的供应链风险供应链物理安全脆弱性厂房、仓库、数据中心、机房的位置，缺少抵御自然灾害或人为破坏等的能力 现有安全措施识别组织宜识别 供应链现有或已计划的安全措施，并对安全措施的有效性进行确认。宜考虑以下活动以实现现有或计划的安全措施识别：）检查 供应链安全措施相关的制度文件，了解计划采取哪些安全措施；）访谈组织的信息安全人员和供应链管理人员，了解实际采取了哪些安全措施；）现场检查验证已采取的 供应链安全措施，确认安全措施是否在正确和有效地工作；犌犅犜 ）参考供应链或网络安全相关标准规范，判断已实施的安全措施是否满足相关标准规范要求。风险分析风险分析包括可能性分析、后果

25、分析和风险估算。可能性是威胁利用脆弱性导致安全事件发生的概率。可能性分析应从两个角度进行：一是 供应链本身受到损害的可能性，例如可能影响关键组件使用或增加知识产权被窃取风险；二是供应链内的产品、服务、系统、组件受到损害的可能性，例如系统被植入恶意代码或组件被电击损坏。后果分析针对已识别的 供应链安全事件，分析事件的潜在影响。组织宜从资产的重要性，引发安全事件的威胁来源的特征，已识别的脆弱性，现有或已计划安全措施反映出的组织对事件的敏感性等方面进行后果分析。风险估算为 供应链安全风险的可能性和后果赋值，风险估算应基于可能性分析和后果分析的结论进行。风险评价风险评价将风险估算结果与风险评价准则和风

26、险接受准则比较，输出依据风险评价准则按优先顺序排列的风险列表。风险识别和分析中得到的后果、可能性也可用于风险评价活动。需要注意的是多个中低风险的聚合可能导致更高的整体风险。风险处置对风险评估给出的具体风险宜制定风险处置计划，并结合组织自身的业务要求和能力限制，选择风险处置策略。风险处置策略主要包括以下类型：）风险降低：指为降低风险的可能性，减少风险负面结果所采取的行动。即对风险采取控制措施，减少威胁发生的可能性和带来的影响，使风险级别降低，残余风险在重新评估后能够为组织风险策略接受。）风险规避：指不卷入风险处境的决定或撤离风险处境的行动。通过选择放弃某些可能引发风险的业务或资产、采用改变环境或

27、取消风险相关活动等方式实现对风险的规避。）风险转移：指与另一方对风险带来的损失或收益的共享行为。即将风险全部或部分转移给其他方，组织可采用购买保险，与合作伙伴共同承担的方式对风险进行转移。）风险保留：指对来自特定风险的损失或收益的接受行为。在满足组织安全策略的情况下，对风险不采取任何控制措施，接受特定风险可能带来的损失。如果组织选择风险降低策略，则需针对风险选择相应 供应链安全风险控制措施，以保证控制措施执行后，残余风险能够被组织所接受。具体控制措施见第章。风险监督和检查风险监督和检查的目的是确保组织的风险在可接受范围内。供应链的风险是动态的。威胁、脆弱性、风险可能性、风险影响等均可能会随着组

28、织业务的变化而改变。组织应设置风险监督和检查计划，监视风险管理活动，定期评审控制措施，及时调整范围边界。宜持续监督和检查以下事项：）资产新增以及资产价值发生变更的情况；）新增的威胁、脆弱性；）已评估的威胁、脆弱性和风险因聚合导致的不可接受的风险；）供应链安全事件。犌犅犜 风险沟通和记录风险沟通和记录是在风险管理者以及利益相关者之间就如何通过交换和（或）共享有关风险信息来管理风险而达成一致的活动。宜沟通和记录的内容包括但不限于：）利益相关者的关注点；）供应链背景信息；）供应商基本信息；）产品和服务的基本信息；）充分识别 供应链风险的方法；）供应链风险基本信息，包括供应链风险事件描述、风险评估结果

29、等；）供应链风险处置措施、实施计划及效果等。犐 犆犜供应链安全风险控制措施 概述本章列出了 供应链安全风险控制措施集合，需方或供方宜针对组织的特点和识别的安全风险，选择、定制和实施供应链安全措施。基于 供应链风险管理过程，本标准推荐组织依据以下原则选择供应链的安全控制措施：）组织的类型、战略、业务目标、客户需求；）组织架构和组织流程（安全方面、质量方面等）；）组织的安全策略和安全风险承受能力；）组织的 供应链的安全威胁、脆弱性；）相关的法律法规；）组织 供应链结构和背景；）组织的 供应链安全风险评估结果。技术安全措施 物理与环境安全组织宜：）确保外部人员访问 供应链基础设施受控区域前得到授权或

30、审批，由专人全程陪同，并登记备案；）及时更新供方对 供应链基础设施的物理访问权限；）评估系统集成商是否具有物理与环境安全策略，是否具有持续保证物理与环境安全的能力，并通过合同协议对系统集成商的物理与环境安全进行要求；）具有备用的工作场所、通信线路和供应链管理信息系统，防止自然灾害或不可抗力的外因导致供应链中断。系统与通信安全组织宜：）具备边界保护机制，保护 供应链基础设施内的物理连接和逻辑连接；）定期开展 供应链基础设施边界安全脆弱性评估及抽样检查，并及时采取纠正措施；）如在 供应链基础设施中采用密码技术的，宜符合国家密码管理相关规定；犌犅犜 ）使用多个供应来源以提高通信系统组件可用性，减少

31、供应链基础设施受损害的影响；）确保供应链关键信息的传输安全，采取安全措施保证信息传输保密性。访问控制组织宜：）建立用户的账户管理体系，包括用户注册、角色管理、权限和授权管理及身份鉴别等措施；）在系统集成商、供应商和外部服务提供商发生变更的情况下，更新访问权限等控制措施；）在信息系统及 供应链决策过程明确职责定位；）在职责定位的基础上，采取最小权限和授权机制；）监控、审核和记录从外部对 供应链基础设施相关的访问；）根据组织的信息安全策略制定访问控制协议要求，并对访问协议进行定期更新，如明确系统集成商和外部供应商对信息系统和 供应链基础设施的访问级别；）限制组织内设备在外部信息系统中的使用；）依据

32、不同的访问级别，把 供应链基础设施的接口，选择性地提供给系统集成商、供应商和外部服务提供商；）使用自动化方式实现账户管理，包括进行包括通知变更、禁用过期账户、自行审核高危操作和超时自动注销等；）从供应链角度，对组织与外部供应商互连的信息系统和操作任务进行核查和记录，包括了解与各类供方的组件系统连接状况、共同开发和操作环境、共享的数据请求和检索事务等。标识与鉴别组织宜：）对组织供应链基础设施的系统或人员分配身份标识，对访问 供应链基础设施的用户（包括组织内部用户、外部供应商用户等）进行身份标识和鉴别。）管理 供应链基础设施内非组织用户的用户身份标识和鉴别的建立、审计、使用和撤销。）对交付前产品标

33、识的改变提供相应的规则，使所交付的产品在 供应链中可进行验证。）对设备和组件分配产品标识，使用编码、条码、或者组织自定义的其他标识，包括：）对于软件开发，宜为已实现配置项识别的组件分配产品标识；）对于设备和操作系统，宜在其进入组织的 供应链基础设施时分配产品标识，例如通过运输、接收或下载完成时。供应链完整性保护组织宜：）对可能造成 供应链基础设施破坏的行为进行监控（如外部攻击或软件开发过程中植入的恶意代码）；）对信息系统和组件的完整性进行测试和验证（如使用数字签名或校验和机制），或使用有限权限环境（如沙箱）等；）确保实施代码鉴别机制，如数字签名，以确保 供应链框架和信息系统的软件、固件和信息的

34、完整性；）获取二进制或机器可执行代码、工具的来源应经过验证；）采取硬件完整性保护措施，如硬件拆箱保护措施；）验证集成商、供应商和外部服务提供商提供的篡改保护机制。犌犅犜 可追溯性组织宜：）建立和维护可追溯性的策略和程序，记录和保留信息系统、组件或 供应链中产品和服务的原产地或原提供商的相关信息；）对于追溯源的改变，跟踪、记录并通知到有关供应链相关人员；）确保追溯到对信息系统或 供应链中组件、工具、数据和过程有影响的个人；）确保可追溯信息和可追溯更改记录的抗抵赖性，包括时间、用户信息等；）建立可追溯基线，对组件、系统以及整个供应链进行记录、监测和维护，并将可追溯基线嵌入供应链流程和相关信息系统；

35、）使用多种可重复的方法跟踪追溯源的变更，包括变更的数量和频率，减少过程、程序和人为的错误，例如，配置管理数据库可用于跟踪对软件模块、硬件组件和文档的更改。管理安全措施 制度和人员管理 管理制度组织宜：）制定供应链管理的总体方针和安全策略，说明供应链管理的总体目标、范围、原则和安全框架等；）对供应链建立安全管理制度，包含供应链生命周期中主要活动、供应链基础设施和外部供应商管理等内容；）对要求供应链管理人员或操作人员执行的重要管理操作建立操作规程；）在供应商关系发生重大变化或供应链发生重大安全事件时，对供应链安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。管理机构组织宜：）

36、明确负责指导和协调组织相关部门的供应链安全管理工作的供应链安全管理部门，并定义供应链安全管理职责；）提供用于供应链安全管理的资金、人员和权限等可用资源。人员管理组织宜：）制定针对涉及 供应链基础设施的人员的安全要求，包括管理者、员工和第三方人员等。）确保涉及 供应链各部门、各环节的责任人的可信度，可以满足对其职位的安全要求。）及时终止离岗和调任人员对供应链基础设施的访问权限。包括：）采购和承包人员、供应链和物流人员、运输和接收人员；）信息技术人员、质量人员、高级管理人员、系统管理员、网络管理员、安全管理员。）明确划分管理 供应链的人员职责定位，包括：）高级管理人员以及支撑 供应链的签约、物流、

37、交付接收、采购安全等职责定位；）供应链管理人员和负责完成管理的需方组织内部人员的职责定位；）覆盖系统生命周期的系统工程师或安全工程师，涉及需求定义、开发、测试、部署、维护、更 犌犅犜 新、更换、交付和接收、技术等职责定位。教育培训组织宜：）制定安全培训计划，将 供应链安全风险管理培训纳入安全培训计划中，并定期执行；）设立专人负责供应链安全培训工作，培训对象宜包括所有参与供应链基础设施的组织内部人员和供应商人员或相关责任人；）培训内容可包括供应链安全相关的法律法规、标准规范、程序流程、应急处理等，培训内容需要根据安全形势变化和组织，进行不断更新。供应链生命周期管理 配置管理组织宜：）明确供应链管

38、理人员在配置管理中的职责定位，包括确定和协调组织不同部门间在配置管理中的目标、范围、角色、职责、义务和管理规范。）制定覆盖全生命周期的配置管理策略，包括定义在整个系统开发生命周期中的配置参数，定义信息系统的配置项并进行配置管理，考虑配置项的数据留存、追踪和元数据等。）与系统集成商、外部服务提供商等供应商协调配置管理策略。）建立相应的实施配置管理控制程序，包括向产品和服务插入和删除组件的规程，制定主体配置操作手册，依据手册对设备进行安全访问、优化配置更改等工作。）将信息系统设置为仅提供基本功能，禁止或限制使用不必要的物理和逻辑端口、协议或服务，指定可以实现系统最少功能的组件，以减少 供应链受到攻

39、击的风险。）对产品服务和 供应链基础设施的变更进行安全影响分析，以确定是否需要采取额外的安全控制措施，影响分析人员宜包含系统工程师和安全工程师。）及时记录和保存系统的基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件版本和补丁信息、各个设备或软件组件的配置参数等。）在组织内部建立和维护配置管理基线，包括：）建立信息系统和 供应链基础设施的配置基线，并与系统集成商、外部服务提供商和供应商达成一致；）建立基线配置的规范，并可根据需要建立基线配置的开发及测试环境；）记录基线配置的变更和相关组织的通报、调整；）运行和维护基线配置的基本要求，通过基本要求保证供应链的基本安全条件；）定期审核和更

40、新基线配置，实现基线变化的可追溯。）对配置访问进行安全控制，包括：）对配置更改相关的物理和逻辑访问控制进行定义、记录、批准和管理；）对配置的强制执行和自动访问进行审核和限制；）对签名组件的更改进行审核和限制，以确定组件使用组织认可和批准的数字签名证书；）限制软件库驻留、查询、更改的权限，并定义特权程序和相应权限；）建立对非授权访问实施控制的技术能力和应急响应能力。）对 供应链基础设施的配置更改实施安全控制，监控审核配置设置中未授权的更改，包括：）根据职责定位，要求配置的所有者、授权管理者，对配置更改进行系统审核，以确定是否发生未经授权的更改；犌犅犜 ）明确配置可更改的类型、程序、批准和审计要求

41、；）基于安全风险分析和组织策略，审核对信息系统配置的变更并决定是否批准；）经过审批后才可更改、安装经审核的配置组件或调整配置参数，操作过程宜保留不可更改的审计日志，操作结束后宜同步更新配置信息库，识别、记录所有的配置改变细节，包括与原有配置的差异和原因；）按照组织定义的时间，保留信息系统的配置更改记录；）建立未经授权的配置更改的应急响应和配置恢复能力；）审计和审核信息系统的配置控制变更相关活动；）提高管理、审核和控制配置更改的自动化程度。供应商开发要求 产品和服务的开发商和供应商宜：）具备软件开发管理制度，明确开发过程的控制方法、管理流程和人员行为准则。）制定代码安全规范，要求开发人员参照规范

42、提升代码质量，例如：）使用最佳安全编码实践来避免常见的安全缺陷；）使用安全硬件设计实践（如适用）；）定期安排对相关人员的安全开发工程实践培训。）在发现安全缺陷及漏洞时，立即采取修复或替代方案等补救措施，及时告知用户安全风险，并按照国家网络安全监测预警和信息通报制度等要求向有关主管部门报告。）确保具备软件安全设计的相关文档和使用指南，并由专人负责保管。）确保具备物理隔离的开发环境，实际环境的测试数据和测试结果受到控制。）确保开发流程及实践在整个生命周期中得到记录、管理及遵循，记录的开发流程可包含开发合作伙伴。如发现被证实为恶意篡改或伪冒目标的组件，需对其在整个生命周期内的组装和使用进行跟踪检查，

43、并提供解决方案。）执行产品和服务开发生命周期的安全测试管理，制定产品安全应急响应计划，以确保各种产品和服务在整个生命周期内达到一定的安全要求。生产交付安全组织宜：）生产区域具备独立的电子安全系统并且有专人管理，安保人员按要求实施监控，并维护安保系统；）运输服务商具备服务许可资质、具备电子行业作业经验，运输车辆符合安全资质配送要求，运输作业人员通过组织或运输服务商提供的安全培训；）使用资产跟踪，如数字签名、定位等措施来保障在生产、运输、存储、交付中的系统和相关组件安全，以防止系统和组件被假冒、丢失、受损等导致的供应链中断。安全审计组织宜：）建立供应链管理安全审计制度和流程，对相关的安全事件进行审

44、计，包括：）技术事件：包括软件、硬件、数据等的更改、移除和迁移，对访问控制和身份鉴别的日志监测等；）非技术事件：包括组织安全或运营政策和策略的变化，采购或合同流程的变更，以及系统集成商、供应商和外部服务提供商，对系统或组件计划进行的更新、优化、淘汰等。犌犅犜 ）对审计事件进行定级，根据不同的安全等级，采用不同的应对策略和问责机制。）按要求留存和保护供应链相关的审计记录。）对要公开披露的信息进行审核，包括组织自己披露的信息和授权供应商披露的组织信息。）监测和审计 供应链活动中的信息共享，包括与系统集成商、供应商和外部服务提供商的信息共享。）在合作协议中，要求系统集成商和外部服务提供商建立适当的审

45、计机制和办法。）建议系统集成商和外部服务提供商，定期对供应链信息系统进行安全风险自审或引入第三方审计。）定期或者根据自身需要，对供应链进行来源审核和验证。）根据访问控制策略部署安全审计机制，以审核、更新并跟踪外部供应商第三方对供应链基础设施和相关系统的访问。应急计划组织宜：）针对 供应链基础设施，建立、维护并有效实施 供应链的应急响应和灾后恢复计划，按照年度更新应急响应计划。）应急响应计划覆盖 供应链基础设施的基本业务功能及其应急响应需求。）供应链基础设施的应急响应计划可包括：）进行业务影响分析，标识关键流程和组件及其安全风险，确定优先次序；）提供应急响应的恢复目标、恢复优先级和度量指标；）描

46、述应急响应的结构和组织形式，明确应急响应责任人的角色、职责及其联系信息。将应急响应计划向供应链相关部门及所有干系人进行通报。）如系统发生变更或应急响应计划在实施、执行或测试中遇到问题，及时修改应急响应计划并向相关干系人进行通报。）避免应急响应计划的非授权泄露和更改。）确保在发生安全事故时，实施应急响应计划以维持供应链的基本业务功能。）建立 供应链信息备份，保障备份信息的保密性、完整性和可用性，并定期验证信息系统备份的可用性。）确保外部服务提供商提供的信息系统和 供应链基础设施具有适当的失效备援方案，并将其纳入服务协议。事件响应组织宜：）跟踪、记录各类事件，并与 供应链相关的合作伙伴建立双向沟通

47、机制，包括：）对影响 供应链的事件进行界定和描述，包括对事件等级进行划分；）对响应 供应链事件的接口人、响应时间、处理要求进行记录，对处理方式进行说明。）与外部供应商定义统一的事件处理标准，并根据事件处理结果和产生影响，对事件处理标准及时修订。）指定处于关键位置的人员作为事件响应联系人，并授予其一定权限。）确保事件报告相关内容和数据只能由授权人员进行传输和接收。维护组织宜：犌犅犜 ）为信息系统和 供应链基础设施制定安全维护策略。）对维护工具的使用和升级进行控制和鉴别，涉及维护工具的选择、订购、存储、集成、使用和更换等各个环节，包括：）对用于 供应链基础设施的维护工具进行部署、测试、验收，审核是

48、否符合要求；）在未经安全许可的情况下，不允许将正在使用的 维护工具（软件、硬件）带离维护现场；）需要记录对维护工具的使用和存储情况，如工具的使用者、使用和存储时间。如果维护工具自身具备审计功能的，建议保持开启。）采取适当的保护措施，来管理非本地维护带来的风险，有关的控制手段推荐如下：）记录远程维护的时间、人员和使用的工具；）对信息系统中涉及远程维护的审核功能，建议实时开启。）采取适当的保护措施，来管理涉及维护人员的相关风险。如对人员进行培训、利用合同约束条件。）对于备件、更换部件等，组织确保通过原始设备制造商（）或授权供应商购买。如果不可用，则优选从授权供应商处购买。如果或授权供应商均不可用，

49、只能从非授权供应商购买，宜在购买之前进行风险评估。采购外包与供应商管理 供应商选择组织宜：）制定供应商选择策略和制度，根据产品和服务重要程度对供应商开展安全调查。）对关键产品和服务供应商实行筛选，与产品和服务供应商进行合作时，组织宜考虑以下几方面因素：）优先选择满足下列条件的供应商：保护措施符合法律法规安全要求，组织运转过程和安全措施相对透明，对下级供应商、关键组件和服务的安全实行进一步核查，在合同中声明不使用有恶意代码产品或假冒产品，使用可信任的员工；）交货周期短且稳定；）使用可信或可控的分发、交付和仓储手段；）限制从特定供应商或国家采购产品和服务。）在签署合同前对供应商进行调查，根据实际情

50、况，包括但不限于：）分析供应商对信息系统、组件和服务的设计、开发、实施、验证、交付、支持过程；）评价供应商在开发信息系统、组件或服务时接受的安全培训和积累的经验，以判断其安全能力。采购过程组织宜：）在采购前建立与 供应链的信息安全风险承受能力相适应的采购策略，制定供应商的信息安全基线要求，安全要求宜包括 相关的管理要求、技术要求、透明性、供应链的信息安全事件共享、组件的废弃或留存规则、数据、知识产权和其他相关要求。）与供应商签订产品和服务采购协议，并体现产品和服务安全保障、保密和验收准则等内容。）要求供应商对其交付的网络安全产品实行安全配置，并在安全组件、安全服务重启或重装后进行安全默认配置。