国家标准信息安全技术ICT供应链安全风险管理指引草案编制

国家标准《信息安全技术ICT供应链安全风险管理指南》

（草案）编制说明

一、工作简况

1.1任务来源

本项目为2012年的标准编制项目，名为“信息安全技术 ICT供应链安全风险管理指南”（以下简称《供应链指南》），计划号为20120528-T-469。该标准规定了ICT供应链安全风险管理的过程和控制措施。

本项目由中国电子技术标准化研究院负责具体实施，参与起草单位包括中国科学院软件研究所、华为技术有限公司、联想（北京）有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴（北京）软件服务有限公司、北京京东叁佰陆拾度电子商务有限公司、中国信息通信研究院、浪潮电子信息产业股份有限公司、微软（中国）有限公司、国家信息技术安全研究中心、英特尔（中国）有限公司、阿里云计算有限公司、中国信息安全认证中心、清华同方计算机有限公司、中国科学院信息工程研究所信息安全国家重点实验室。

1.2主要工作过程

1. 2012年3月，成立标准编制组

考虑到信息通信技术产品和服务的产业现状，标准编制组广泛吸收了国内的研究机构、第三方测评机构、信息通信技术企业参与到标准研制工作，同时按照相关程序，接受了部分国外企业作为观察成员，参与标准研制过程。

2. 2012年4月至2013年6月，调研国内外供应链安全标准现状

研究现有国内外供应链安全相关标准，分析各自特点，学习借鉴，主要包括：1）《供应链风险管理指南》（GB/T 24420）

2）《信息技术安全技术信息安全风险管理》（GB/T 31722，即ISO/IEC 27005）

3）《信息安全技术信息安全风险管理指南》（GB/Z 24364）

4）《信息安全技术信息安全风险评估规范》（GB/T 20984）

5）《信息安全技术信息安全风险评估实施指南》（GB/T 31509）

6）《信息技术安全技术信息安全管理实用规则》（GB/T 22081，即ISO/IEC

27002）

7）《信息安全技术云计算服务安全能力要求》（GB/T 31168）

8）《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239）

9）《信息安全技术政府部门信息安全管理基本要求》（GB/T 29245）

10）《信息安全技术信息技术产品供应方行为安全准则》（GB/T 32921）11）《Information technology - Security techniques - Code of practice for Information security controls》(ISO/IEC 27002) 12）《Information technology - Security techniques - Information security for supplier relationships》（ISO/IEC 27036）13）《Systems and software engineering - Systems and software assurance》（ISO/IEC 15026）

14）《Information Technology - Open Trusted Technology Provider TM Standard(O-TTPS) - Mitigating maliciously tainted and counterfeit products》（ISO/IEC 22043）

15）《Supply Chain Risk Management Practices for Federal Information Systems and Organizations》（NIST SP 800-161）16）《Security and Privacy Controls for Federal Information Systems and Organizations》（NIST SP 800-53）

3. 2013年7-9月，调研国内信息通信技术产品和服务供应链安全需求与产业现状

2013年7-9月，与国内外信息通信技术产品和服务厂商、第三方测评机构等代表进行研讨，并到个别厂商和政府机构实地调研情况，了解信息通信技术产品和服务供应链的管理现状与安全需求。

4. 2013年10月，召开标准启动会，确定标准范围和框架

2013年10月编制组召开标准启动会，与参与单位共同讨论，明确了标准的适用范围和草案框架。

5. 2013年11月至2014年12月，初步形成标准草案，编制组内开会讨论

根据标准草案框架，编制标准草案初稿v0.1，并于2014年12月召开标准内部研讨会，与编制组成员进行研讨，会上对于ICT供应链安全管理指南的适用对象（主要面向政府机关和大型国有企业）达成了共识。但是对于ICT供应链安全

管理指南的具体框架内容还存在部分争议，需要未来进一步协商明确。

6. 2016年1月-12月，ICT供应链信任研究课题，为标准工作提供了基础。

2016年1月至12月，中国电子技术标准化研究院与微软公司联合开展了“ICT供应链信任”课题研究，并于2016年2月27日、6月7日召开了两次中美专家之间的ICT供应链安全信任研讨会，目前课题已经形成研究报告，课题成果为供应链标准编制工作奠定了基础。

7. 2016年10月，成都标准会议周汇报标准编制工作，并进行研讨

2016年10月在成都召开的标准会议周上汇报标准编制工作，分析了原有标准草案的不足，并提出了新的标准框架。会上对标准范围、标准应用等方面进行了讨论，对于标准范围、框架等内容还需成立新的编制组，进一步讨论明确。

8. 2016年11月-2017年3月，成立新的标准编制组，开展标准编制工作

成立新的标准编制组，并组织成员单位讨论标准范围、框架、争议问题，定好标准框架后，定期召开标准编制组会议对标准草案进行迭代更新，已召开6次标准编制组会议，形成标准草案v1.3版本。

●2016年11月24日，成立新的标准编制组，讨论确定标准编制思路和框

架。

●2017年1月12日，参研单位提交贡献，讨论标准草案v0.2。

●2017年2月27日，标准编制组研讨，讨论标准草案v0.5。

●2017年3月9日，标准编制组研讨，讨论标准草案v0.9。

●2017年3月23日，标准编制组研讨，讨论标准草案v1.1。

●2017年3月29日，与NIST SP 800-161的第一作者Jon Boyens进行电

话会议，交流供应链安全标准。

二、编制原则和主要内容

2.1 编制原则

本标准在GB/T 31722《信息技术安全技术信息安全风险管理》的指导下，旨在针对ICT供应链的特点，细化ICT供应链安全风险管理的过程和控制措施，为ICT产品服务的需方或供方提供管理ICT供应链安全风险的实施指南。本标准的研究与编制工作遵循以下原则：

一是以国内外供应链安全相关标准为基础。《供应链指南》是针对ICT供应链安全风险管理指南，以国内供应链安全相关标准要求为基础，充分借鉴国际先