GB/T 43698-2024網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T43698—2024

網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求

Cybersecuritytechnology—Securityrequirementsforsoftwaresupplychain

2024-04-25發(fā)布2024-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T43698—2024

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

軟件供應(yīng)鏈安全目標(biāo)

4……………………2

軟件供應(yīng)鏈安全保護(hù)框架

5………………2

軟件供應(yīng)鏈安全風(fēng)險管理要求

6…………3

基本流程

6.1……………3

軟件供應(yīng)鏈安全圖譜

6.2………………3

軟件供應(yīng)鏈安全風(fēng)險評估

6.3…………4

軟件供應(yīng)鏈安全風(fēng)險處置

6.4…………4

需方安全要求

7……………4

組織管理

7.1……………4

供應(yīng)活動管理

7.2………………………5

供方安全要求

8……………7

組織管理

8.1……………7

供應(yīng)活動管理

8.2………………………8

附錄資料性軟件供應(yīng)鏈安全概述

A()…………………11

附錄資料性關(guān)鍵軟件資產(chǎn)

B()…………15

附錄資料性組織業(yè)務(wù)場景分類

C()……………………16

附錄資料性軟件供應(yīng)鏈安全圖譜

D()…………………17

參考文獻(xiàn)

……………………19

GB/T43698—2024

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國信息安全測評中心中國電子技術(shù)標(biāo)準(zhǔn)化研究院華為技術(shù)有限公司國家計

:、、、

算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心中國軟件評測中心工業(yè)和信息化部軟件與集成電路促進(jìn)中心諾基

、()、

亞通信系統(tǒng)技術(shù)北京公司奇安信網(wǎng)神信息技術(shù)北京股份有限公司深信服科技股份有限公司國

()、()、、

網(wǎng)新疆電力有限公司電力科學(xué)研究院麒麟軟件有限公司國家信息技術(shù)安全研究中心國家計算機(jī)網(wǎng)

、、、

絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司昆侖數(shù)智科技有限責(zé)任公

、、

司聯(lián)想北京有限公司浪潮電子信息產(chǎn)業(yè)股份有限公司中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心杭州默

、()、、、

安科技有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司三六零數(shù)字安全科技集團(tuán)有限公司長揚科技

、、、

北京有限公司上海觀安信息技術(shù)股份有限公司北京奇虎科技有限公司北京快手科技有限公司

()、、、、

云從科技集團(tuán)股份有限公司國網(wǎng)區(qū)塊鏈科技北京有限公司國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心

、()、

北京分中心上海三零衛(wèi)士信息安全有限公司北京大學(xué)啟明星辰信息技術(shù)集團(tuán)股份有限公司瀚高基

、、、、

礎(chǔ)軟件股份有限公司北京威努特技術(shù)有限公司螞蟻科技集團(tuán)股份有限公司中國信息通信研究院

、、、、

中電長城網(wǎng)際安全技術(shù)研究院北京有限公司北京安普諾信息技術(shù)有限公司杭州安恒信息技術(shù)股份

()、、

有限公司北京神州綠盟科技有限公司北京中科微瀾科技有限公司廣東移動通信有限公司

、、、OPPO、

公安部第一研究所中國科學(xué)院軟件研究所阿里云計算有限公司湖南泛聯(lián)新安信息科技有限公司

、、、、

北京中測安華科技有限公司中國科學(xué)院信息工程研究所蘇州棱鏡七彩信息科技有限公司新華三技

、、、

術(shù)有限公司工業(yè)和信息化部電子第五研究所北京源堡科技有限公司北京人大金倉信息技術(shù)股份有

、、、

限公司上海大學(xué)西安郵電大學(xué)沈陽東軟系統(tǒng)集成工程有限公司中國電子科技集團(tuán)公司第十五研究

、、、、

所遠(yuǎn)江盛邦北京網(wǎng)絡(luò)安全科技股份有限公司上海文鰩信息科技有限公司

、()、。

本文件主要起草人李守鵬王欣王曉萌王惠蒞薛勇波吳潤浦林星辰曾晉上官曉麗王嘉捷

:、、、、、、、、、、

萬振華陳冬青沈蕾辛偉唐福宇董國偉常遠(yuǎn)崔靜葉潤國高金萍楊慧婷吳倩翟艷芬董軍平

、、、、、、、、、、、、、、

王頡張屹滕征岑邱林海鄧輝鄭明李汝鑫謝江張大江劉磊梁利陳靚廖毅柴思躍宋桂香

、、、、、、、、、、、、、、、

申永波孟瑾白曉媛孔耀暉沈錫鏞楊劍孫世國李娜王聰趙華韓煜落紅衛(wèi)武延軍張亞京

、、、、、、、、、、、、、、

李軍張立王棟溫婷婷陳亮查海平高慶姚葉鵬趙軍凱馮明冉王春霞劉健李汪蔚林飛

、、、、、、、、、、、、、、

寧戈張濤袁明坤楊廷鋒王琦王瑋琪楊牧天李躍李騰萬娟吳敬征王振遠(yuǎn)劉井強(qiáng)肖揚

、、、、、、、、、、、、、、

梁大功萬曉蘭蔡一兵梁露露趙曉暉彭晨楊毅張勇馮全寶程巖聶萬泉付艷艷霍珊珊劉洋

、、、、、、、、、、、、、、

王晶權(quán)曉文周浩威

、、。

Ⅰ

GB/T43698—2024

網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求

1范圍

本文件確立了軟件供應(yīng)鏈安全目標(biāo)規(guī)定了軟件供應(yīng)鏈安全風(fēng)險管理要求和供需雙方的組織管理

,

和供應(yīng)活動管理安全要求

。

本文件適用于指導(dǎo)軟件供應(yīng)鏈中的供需雙方開展風(fēng)險管理組織管理和供應(yīng)活動管理為第三方機(jī)

、,

構(gòu)開展軟件供應(yīng)鏈安全檢測和評估提供依據(jù)供主管監(jiān)管部門參考使用

,。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069—2022

信息安全技術(shù)供應(yīng)鏈安全風(fēng)險管理指南

GB/T36637—2018ICT

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2022GB/T36637—2018。

31

.

軟件產(chǎn)品softwareproduct

計算機(jī)軟件信息系統(tǒng)或設(shè)備中嵌入的軟件或在提供計算機(jī)信息系統(tǒng)集成應(yīng)用服務(wù)等技術(shù)服務(wù)時

、、

提供的計算機(jī)軟件

。

注1軟件產(chǎn)品包含計算機(jī)程序代碼規(guī)程相關(guān)數(shù)據(jù)文檔和相關(guān)服務(wù)

:、、、。

注2本文件中軟件產(chǎn)品簡稱為軟件

:。

來源有