GB/T 36637-2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險管理指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T36637—2018

信息安全技術(shù)

ICT供應(yīng)鏈安全風(fēng)險管理指南

Informationsecuritytechnology—Guidelinesfortheinformationand

communicationtechnologysupplychainriskmanagement

2018-10-10發(fā)布2019-05-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T36637—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

概述

5………………………2

供應(yīng)鏈安全風(fēng)險管理過程

6ICT…………3

概述

6.1…………………3

背景分析

6.2……………3

風(fēng)險評估

6.3……………4

風(fēng)險處置

6.4……………7

風(fēng)險監(jiān)督和檢查

6.5……………………7

風(fēng)險溝通和記錄

6.6……………………8

供應(yīng)鏈安全風(fēng)險控制措施

7ICT…………8

概述

7.1…………………8

技術(shù)安全措施

7.2………………………8

管理安全措施

7.3………………………10

附錄資料性附錄供應(yīng)鏈概述

A()ICT…………………16

附錄資料性附錄供應(yīng)鏈安全威脅

B()ICT……………18

附錄資料性附錄供應(yīng)鏈安全脆弱性

C()ICT…………21

參考文獻(xiàn)

……………………25

Ⅰ

GB/T36637—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國科學(xué)院軟件研究所聯(lián)想北京有限公司華為

:、、()、

技術(shù)有限公司浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司阿里巴巴北京軟件服務(wù)有限公司北京京

、、()、

東叁佰陸拾度電子商務(wù)有限公司中國信息通信研究院微軟中國有限公司浪潮電子信息產(chǎn)業(yè)股份

、、()、

有限公司國家信息技術(shù)安全研究中心英特爾中國有限公司北京賽西科技發(fā)展有限責(zé)任公司阿里

、、()、、

云計算有限公司中國信息安全認(rèn)證中心中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實驗室北京

、、、

工業(yè)大學(xué)北京郵電大學(xué)北京中電普華信息技術(shù)有限公司

、、。

本標(biāo)準(zhǔn)主要起草人劉賢剛胡影卿斯?jié)h葉潤國孫彥李汝鑫薛勇波范科峰王昕白曉媛

:、、、、、、、、、、

黃少青劉陶趙江楊煜東趙丹丹張凡陳星寧華樊洞陽陳曄吳迪朱紅儒楊震馬占宇

、、、、、、、、、、、、、、

曹占峰

。

Ⅲ

GB/T36637—2018

引言

隨著信息通信技術(shù)的普及應(yīng)用加強(qiáng)供應(yīng)鏈的安全可控保障變得至關(guān)重要目前世界各國

,ICT。,

和行業(yè)已普遍認(rèn)識到相比傳統(tǒng)行業(yè)行業(yè)供應(yīng)鏈更加復(fù)雜存在安全風(fēng)險的概率更大加強(qiáng)

ICT,ICT,。

供應(yīng)鏈安全管理可增強(qiáng)客戶對供應(yīng)鏈以及行業(yè)的安全信任

ICT,ICTICT。

與傳統(tǒng)供應(yīng)鏈相比供應(yīng)鏈具有許多不同的特點(diǎn)例如供應(yīng)鏈涵蓋產(chǎn)品和服務(wù)的全

,ICT,:ICTICT

生命周期不僅包括傳統(tǒng)供應(yīng)鏈的生產(chǎn)集成倉儲交付等供應(yīng)階段也包括產(chǎn)品服務(wù)的設(shè)計開發(fā)階段

,、、、,

和售后運(yùn)維階段產(chǎn)品由全球分布的供應(yīng)商開發(fā)集成或交付供應(yīng)鏈的全球分布性使得客戶對供

;ICT、,

應(yīng)鏈的掌握情況和安全風(fēng)險控制能力在下降傳統(tǒng)供應(yīng)鏈主要關(guān)注如何將產(chǎn)品有效地交付給客戶或者

;,

供應(yīng)鏈健壯性的強(qiáng)度而供應(yīng)鏈安全更關(guān)注是否會有額外的功能注入產(chǎn)品和服務(wù)中交付的產(chǎn)品

,ICT,

和服務(wù)是否與預(yù)期一致等這些特點(diǎn)使得供應(yīng)鏈比傳統(tǒng)供應(yīng)鏈存在更多的安全風(fēng)險加強(qiáng)供

。ICT,ICT

應(yīng)鏈的安全風(fēng)險管理刻不容緩

。

本標(biāo)準(zhǔn)不規(guī)范信息技術(shù)產(chǎn)品供應(yīng)方的安全行為準(zhǔn)則推薦在關(guān)鍵信息基礎(chǔ)設(shè)施或重要信息系統(tǒng)中

。

使用本標(biāo)準(zhǔn)然而由于個別需要和相關(guān)性組織可選擇將標(biāo)準(zhǔn)應(yīng)用到其他系統(tǒng)或特定組織不過應(yīng)用

。,,,

本標(biāo)準(zhǔn)的控制措施可能會增加組織和外部供應(yīng)商的潛在成本需要組織在成本和風(fēng)險間進(jìn)行權(quán)衡

,。

Ⅳ

GB/T36637—2018

信息安全技術(shù)

ICT供應(yīng)鏈安全風(fēng)險管理指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息通信技術(shù)以下簡稱供應(yīng)鏈的安全風(fēng)險管理過程和控制措施

(ICT)。

本標(biāo)準(zhǔn)適用于重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的供方和運(yùn)營者對供應(yīng)鏈進(jìn)行安全風(fēng)

ICTICT

險管理也適用于指導(dǎo)產(chǎn)品和服務(wù)的供方和需方加強(qiáng)供應(yīng)鏈安全管理同時還可供第三方測評機(jī)

,ICT,

構(gòu)對供應(yīng)鏈進(jìn)行安全風(fēng)險評估時參考

ICT。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息技術(shù)安全技術(shù)信息安全風(fēng)險管理

GB/T31722—2015

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010GB/T31722—2015。

31

.

ICT需方ICTacquirer

從其他組織獲取產(chǎn)品和服務(wù)的組織或個人

ICT。

注1獲取可能涉及或不涉及資金交換

:。

注2重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者通常是從供方獲取網(wǎng)絡(luò)產(chǎn)品和服務(wù)的需方

:,ICTICT。

32

.

ICT供方ICTsupplier

提供產(chǎn)品和服務(wù)的組織

ICT。

注1供方也可稱供應(yīng)商供應(yīng)方