GB/T 36637-2018信息安全技術(shù)ICT供應(yīng)鏈安全風險管理指南

ICS35040

L80.

中華人民共和國國家標準

GB/T36637—2018

信息安全技術(shù)

ICT供應(yīng)鏈安全風險管理指南

Informationsecuritytechnology—Guidelinesfortheinformationand

communicationtechnologysupplychainriskmanagement

2018-10-10發(fā)布2019-05-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T36637—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

概述

5………………………2

供應(yīng)鏈安全風險管理過程

6ICT…………3

概述

6.1…………………3

背景分析

6.2……………3

風險評估

6.3……………4

風險處置

6.4……………7

風險監(jiān)督和檢查

6.5……………………7

風險溝通和記錄

6.6……………………8

供應(yīng)鏈安全風險控制措施

7ICT…………8

概述

7.1…………………8

技術(shù)安全措施

7.2………………………8

管理安全措施

7.3………………………10

附錄資料性附錄供應(yīng)鏈概述

A()ICT…………………16

附錄資料性附錄供應(yīng)鏈安全威脅

B()ICT……………18

附錄資料性附錄供應(yīng)鏈安全脆弱性

C()ICT…………21

參考文獻

……………………25

Ⅰ

GB/T36637—2018

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術(shù)標準化研究院中國科學(xué)院軟件研究所聯(lián)想北京有限公司華為

:、、()、

技術(shù)有限公司浙江螞蟻小微金融服務(wù)集團股份有限公司阿里巴巴北京軟件服務(wù)有限公司北京京

、、()、

東叁佰陸拾度電子商務(wù)有限公司中國信息通信研究院微軟中國有限公司浪潮電子信息產(chǎn)業(yè)股份

、、()、

有限公司國家信息技術(shù)安全研究中心英特爾中國有限公司北京賽西科技發(fā)展有限責任公司阿里

、、()、、

云計算有限公司中國信息安全認證中心中國科學(xué)院信息工程研究所信息安全國家重點實驗室北京

、、、

工業(yè)大學(xué)北京郵電大學(xué)北京中電普華信息技術(shù)有限公司

、、。

本標準主要起草人劉賢剛胡影卿斯?jié)h葉潤國孫彥李汝鑫薛勇波范科峰王昕白曉媛

:、、、、、、、、、、

黃少青劉陶趙江楊煜東趙丹丹張凡陳星寧華樊洞陽陳曄吳迪朱紅儒楊震馬占宇

、、、、、、、、、、、、、、

曹占峰

。

Ⅲ

GB/T36637—2018

引言

隨著信息通信技術(shù)的普及應(yīng)用加強供應(yīng)鏈的安全可控保障變得至關(guān)重要目前世界各國

,ICT。,

和行業(yè)已普遍認識到相比傳統(tǒng)行業(yè)行業(yè)供應(yīng)鏈更加復(fù)雜存在安全風險的概率更大加強

ICT,ICT,。

供應(yīng)鏈安全管理可增強客戶對供應(yīng)鏈以及行業(yè)的安全信任

ICT,ICTICT。

與傳統(tǒng)供應(yīng)鏈相比供應(yīng)鏈具有許多不同的特點例如供應(yīng)鏈涵蓋產(chǎn)品和服務(wù)的全

,ICT,:ICTICT

生命周期不僅包括傳統(tǒng)供應(yīng)鏈的生產(chǎn)集成倉儲交付等供應(yīng)階段也包括產(chǎn)品服務(wù)的設(shè)計開發(fā)階段

,、、、,

和售后運維階段產(chǎn)品由全球分布的供應(yīng)商開發(fā)集成或交付供應(yīng)鏈的全球分布性使得客戶對供

;ICT、,

應(yīng)鏈的掌握情況和安全風險控制能力在下降傳統(tǒng)供應(yīng)鏈主要關(guān)注如何將產(chǎn)品有效地交付給客戶或者

;,

供應(yīng)鏈健壯性的強度而供應(yīng)鏈安全更關(guān)注是否會有額外的功能注入產(chǎn)品和服務(wù)中交付的產(chǎn)品

,ICT,

和服務(wù)是否與預(yù)期一致等這些特點使得供應(yīng)鏈比傳統(tǒng)供應(yīng)鏈存在更多的安全風險加強供

。ICT,ICT

應(yīng)鏈的安全風險管理刻不容緩

。

本標準不規(guī)范信息技術(shù)產(chǎn)品供應(yīng)方的安全行為準則推薦在關(guān)鍵信息基礎(chǔ)設(shè)施或重要信息系統(tǒng)中

。

使用本標準然而由于個別需要和相關(guān)性組織可選擇將標準應(yīng)用到其他系統(tǒng)或特定組織不過應(yīng)用

。,,,

本標準的控制措施可能會增加組織和外部供應(yīng)商的潛在成本需要組織在成本和風險間進行權(quán)衡

,。

Ⅳ

GB/T36637—2018

信息安全技術(shù)

ICT供應(yīng)鏈安全風險管理指南

1范圍

本標準規(guī)定了信息通信技術(shù)以下簡稱供應(yīng)鏈的安全風險管理過程和控制措施

(ICT)。

本標準適用于重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的供方和運營者對供應(yīng)鏈進行安全風

ICTICT

險管理也適用于指導(dǎo)產(chǎn)品和服務(wù)的供方和需方加強供應(yīng)鏈安全管理同時還可供第三方測評機

,ICT,

構(gòu)對供應(yīng)鏈進行安全風險評估時參考

ICT。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息技術(shù)安全技術(shù)信息安全風險管理

GB/T31722—2015

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010GB/T31722—2015。

31

.

ICT需方ICTacquirer

從其他組織獲取產(chǎn)品和服務(wù)的組織或個人

ICT。

注1獲取可能涉及或不涉及資金交換

:。

注2重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的運營者通常是從供方獲取網(wǎng)絡(luò)產(chǎn)品和服務(wù)的需方

:,ICTICT。

32

.

ICT供方ICTsupplier

提供產(chǎn)品和服務(wù)的組織

ICT。

注1供方也可稱供應(yīng)商供應(yīng)方