隨著經(jīng)濟(jì)全球化的日益深入和信息通信技術(shù)的飛速發(fā)展，信息通信技術(shù)供應(yīng)鏈(簡稱“ICT 供應(yīng)鏈”)已經(jīng)發(fā)展為一個遍布全球的復(fù)雜系統(tǒng)。這一復(fù)雜系統(tǒng)中任一組件、任一環(huán)節(jié)出現(xiàn)問題，均可能帶來信息通信產(chǎn)品和服務(wù)的安全問題，進(jìn)而影響信息通信行業(yè)安全、經(jīng)濟(jì)社會發(fā)展安全，乃至國家安全。作為網(wǎng)絡(luò)安全工作的重要一環(huán)，如何加強(qiáng) ICT 供應(yīng)鏈安全管理，有效保障供應(yīng)鏈安全已經(jīng)成為學(xué)術(shù)和產(chǎn)業(yè)領(lǐng)域研究的熱點問題之一。

一、國內(nèi)外政策法規(guī)情況

美歐等發(fā)達(dá)國家和地區(qū)在信息技術(shù)供應(yīng)鏈安全管理領(lǐng)域起步較早，出臺了大量政策法規(guī)和標(biāo)準(zhǔn)規(guī)范，用于加強(qiáng) ICT 供應(yīng)鏈安全管理。我國近年來也不斷出臺相關(guān)法律規(guī)范，逐步完善 ICT 供應(yīng)鏈安全管理工作。

(一)美國

2018 年 9 月，特朗普政府發(fā)布《國家網(wǎng)絡(luò)戰(zhàn)略》，要求改進(jìn)聯(lián)邦供應(yīng)鏈風(fēng)險管理。為確保聯(lián)邦政府部署應(yīng)用的技術(shù)安全可靠，該戰(zhàn)略提出在聯(lián)邦機(jī)構(gòu)采購和風(fēng)險管理流程中整合供應(yīng)鏈風(fēng)險管理的要求。同時，要求各部門和機(jī)構(gòu)之間要更好地共享供應(yīng)鏈安全風(fēng)險信息，通過建立供應(yīng)鏈安全風(fēng)險評估共享服務(wù)等方式，提高對供應(yīng)鏈威脅的認(rèn)識，減少政府內(nèi)部重復(fù)的供應(yīng)鏈活動。

2018 年 12 月，美國國會通過了《聯(lián)邦采購供應(yīng)鏈安全法案》。該法案設(shè)立了新的聯(lián)邦采購安全理事會，授權(quán)其為聯(lián)邦供應(yīng)鏈安全制定規(guī)則，以增強(qiáng)聯(lián)邦采購和采購規(guī)則的網(wǎng)絡(luò)安全彈性。同年 12 月，美國國土安全部正式組建 ICT 供應(yīng)鏈風(fēng)險管理特別任務(wù)組。該任務(wù)組主要職責(zé)時識別全球 ICT 供應(yīng)鏈安全風(fēng)險挑戰(zhàn)，并提供可操作的解決方案。

2019 年 5 月，特朗普簽署第 13873 號《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全行政令》，要求商務(wù)部長、國務(wù)卿、國土安全部、國家情報總監(jiān)分別根據(jù)自身職責(zé)開展持續(xù)性評估工作，每年均需發(fā)布相關(guān)評估報告。其中，國家情報總監(jiān)負(fù)責(zé)對外國擁有、控制、管轄的信息通信技術(shù)或服務(wù)，以及由國外設(shè)計、開發(fā)、制造的信息通信技術(shù)或服務(wù)可能給美國帶來的威脅進(jìn)行評估。國土安全部負(fù)責(zé)對存在安全漏洞并對美國國家安全造成重大潛在威脅的實體、硬件、軟件和服務(wù)進(jìn)行評估。

2021 年 2 月，拜登簽署了第 14017 號《美國供應(yīng)鏈行政令》，要求聯(lián)邦機(jī)構(gòu)對關(guān)鍵領(lǐng)域和行業(yè)的全球供應(yīng)鏈進(jìn)行審查，包括在行政令發(fā)布后的 100天內(nèi)針對包括半導(dǎo)體芯片的四個關(guān)鍵領(lǐng)域的供應(yīng)鏈進(jìn)行審查;在行政令發(fā)布后的一年之內(nèi)對國防、醫(yī)療衛(wèi)生、通信技術(shù)、能源、交通和食品生產(chǎn)六個行業(yè)進(jìn)行供應(yīng)鏈審查。

(二)歐盟

2015 年 8 月，歐洲網(wǎng)絡(luò)與信息安全局(ENISA)發(fā)布《供應(yīng)鏈完整性：ICT 供應(yīng)鏈風(fēng)險和挑戰(zhàn)概述，以及發(fā)展方向愿景》報告，指出 ICT 供應(yīng)鏈完整性是國家經(jīng)濟(jì)發(fā)展的關(guān)鍵因素，提高供應(yīng)鏈完整度對公共和私營部門意義重大，并建議供應(yīng)鏈安全管理應(yīng)遵循同一套實踐，為評估和管理提供共同的基礎(chǔ)，政府應(yīng)與企業(yè)合作建立 ICT 供應(yīng)鏈安全風(fēng)險評估框架。

2021 年 7 月，ENISA 發(fā)布了《ENISA 的供應(yīng)鏈攻擊威脅情景》，對供應(yīng)鏈攻擊進(jìn)行了分類，并對從 2020 年 1 月到 7 月初的 24 起供應(yīng)鏈攻擊事件進(jìn)行了研究，對供應(yīng)鏈攻擊者來源、攻擊手段、攻擊目標(biāo)以及應(yīng)對措施進(jìn)行了分析。

(三)俄羅斯

2012 年，俄羅斯推出了《工業(yè)發(fā)展及其競爭力提升國家綱要》，針對產(chǎn)品生命周期，研究制定一系列綜合性保障措施，其主旨就是要盡快形成和完善俄羅斯的產(chǎn)業(yè)體系，減少對國外技術(shù)和產(chǎn)品依賴。

(四)我國相關(guān)政策法規(guī)

《網(wǎng)絡(luò)安全法》第三十五條“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”和第三十六條“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任”，分別從網(wǎng)絡(luò)安全審查、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全角度對供應(yīng)鏈安全提出要求。

2019 年 7 月，國家互聯(lián)網(wǎng)信息辦公室等四部門發(fā)布《云計算服務(wù)安全評估辦法》，要求云計算服務(wù)安全評估工作中，應(yīng)重點評估“云平臺技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況”。申請安全評估的云服務(wù)商應(yīng)提交“業(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報告”。

2020 年 4 月，《網(wǎng)絡(luò)安全審查辦法》明確提出，為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國家安全，對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國家安全的，應(yīng)進(jìn)行網(wǎng)絡(luò)安全審查。

2021 年 7 月 30 日正式公布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十九條明確指出：“運(yùn)營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù);采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”。

二、國外標(biāo)準(zhǔn)情況

(一)ISO/IEC 27036《信息技術(shù) 安全技術(shù)供應(yīng)商關(guān)系的信息安全》系列標(biāo)準(zhǔn)

該系列標(biāo)準(zhǔn)由 ISO/IEC JTC1/SC27 研制，旨在確保組織戰(zhàn)略目標(biāo)和商業(yè)需求實現(xiàn)的同時，降低采購方和供應(yīng)方在供應(yīng)關(guān)系中存在的信息安全風(fēng)險。ISO/IEC JTC1/SC27 是國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)第一聯(lián)合技術(shù)委員會(JTC1)下的“信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)分技術(shù)委員會”，負(fù)責(zé)網(wǎng)絡(luò)安全領(lǐng)域國際標(biāo)準(zhǔn)化工作。

該系列標(biāo)準(zhǔn)包括四個部分，分別是 ISO/IEC27036-1：2021《第 1 部分：概述和相關(guān)概念》，提供了 27036 系列標(biāo)準(zhǔn)的總體介紹，對供應(yīng)商關(guān)系的類型、相關(guān)安全風(fēng)險以及風(fēng)險管理相關(guān)概念進(jìn)行了描述;ISO/IEC 27036-2：2014《第 2 部分：通用要求》，對供應(yīng)關(guān)系中的信息安全進(jìn)行定義，并對實施、操作、評估、應(yīng)對措施等提出了通用要求;ISO/IEC 27036-3：2013《第 3 部分：供應(yīng)鏈安全指南》，對 ICT 供應(yīng)鏈中產(chǎn)品和服務(wù)的安全風(fēng)險進(jìn)行描述和分析，給出了應(yīng)對相應(yīng)風(fēng)險的措施;ISO/IEC 27036-4：2016《第 4 部分：云服務(wù)安全指南》，提出了云計算服務(wù)在 ICT 供應(yīng)鏈方面存在的安全風(fēng)險及相關(guān)應(yīng)對措施。

(二)ISO/IEC 20243《信息技術(shù) 開放可信技術(shù)提供商標(biāo)準(zhǔn) 減少惡意和仿冒組件》系列標(biāo)準(zhǔn)

該系列標(biāo)準(zhǔn)包括 ISO/IEC 20243-1：2018《要求和建議》、ISO/IEC 20243-2：2018《O-TTPS 和ISO/IEC 20243-1：2018 的評估流程》兩個部分，針對信息通信技術(shù)硬件和軟件在產(chǎn)品生命周期內(nèi)面臨的完整性威脅，特別是惡意和仿冒組件帶來的安全風(fēng)險，提供了一套應(yīng)對準(zhǔn)則、方針和建議。

(三)ISO 28000《供應(yīng)鏈安全管理體系規(guī)范》

該標(biāo)準(zhǔn)作為一套供應(yīng)鏈安全管理規(guī)范，說明了組織建立、實施供應(yīng)鏈安全管理體系的要求，保障供應(yīng)鏈安全的重要內(nèi)容，為各類組織開展供應(yīng)鏈安全管理提供了一個較為系統(tǒng)的管理模式。

(四)NIST SP 800-161《聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險管理實踐》

該標(biāo)準(zhǔn)是美國國家標(biāo)準(zhǔn)技術(shù)研究院在 NIST SP800-39《管理信息安全風(fēng)險：組織、任務(wù)和信息系統(tǒng)視角》、NIST SP 800-53《信息系統(tǒng)和組織的安全和隱私控制措施》基礎(chǔ)上，針對為聯(lián)邦信息系統(tǒng)和機(jī)構(gòu)供應(yīng)鏈方面面臨的安全風(fēng)險，提出的 ICT 供應(yīng)鏈安全風(fēng)險控制流程和措施。該標(biāo)準(zhǔn)通過提出將供應(yīng)鏈安全風(fēng)險納入組織整體的風(fēng)險管理過程，并給出 19 類 ICT 供應(yīng)鏈安全控制措施，以減少聯(lián)邦信息系統(tǒng)和組織面臨的供應(yīng)鏈安全風(fēng)險。

三、我國相關(guān)標(biāo)準(zhǔn)

(一) GB/T 36637—2018《信息安全技術(shù)ICT 供應(yīng)鏈安全風(fēng)險管理指南》

該標(biāo)準(zhǔn)分析了 ICT 供應(yīng)鏈的特點，梳理了 ICT 供應(yīng)鏈面臨的典型安全威脅和安全脆弱性。在通用風(fēng)險管理模型基礎(chǔ)上，提出了 ICT 供應(yīng)鏈風(fēng)險管理過程，細(xì)化風(fēng)險管理的步驟和實施細(xì)則，提出了供應(yīng)鏈完整性保護(hù)、可追溯性等技術(shù)安全措施，以及制度和人員管理、供應(yīng)鏈生命周期管理、采購?fù)獍c供應(yīng)商管理等管理安全措施，為 ICT 產(chǎn)品和服務(wù)的供應(yīng)方和需求方加強(qiáng)供應(yīng)鏈安全管理提供指導(dǎo)。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)提出并歸口。

(二) GB/T 32921—2016《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》

該標(biāo)準(zhǔn)規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方在提供信息技術(shù)產(chǎn)品過程中，為保護(hù)用戶相關(guān)信息，維護(hù)用戶信息安全應(yīng)遵守的基本準(zhǔn)則，分別從用戶相關(guān)信息收集和處理的安全、遠(yuǎn)程控制用戶產(chǎn)品的安全和其他行為安全等方面提出相關(guān)安全要求，適用于信息技術(shù)產(chǎn)品供應(yīng)、運(yùn)行或維護(hù)過程中的供應(yīng)方行為管理。該標(biāo)準(zhǔn)由 TC260 提出并歸口。

(三) GB/T 32926—2016《信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》

該標(biāo)準(zhǔn)針對政府部門在使用信息技術(shù)服務(wù)外包時面臨的外包服務(wù)機(jī)構(gòu)背景復(fù)雜、服務(wù)人員流動性大、內(nèi)部管理不規(guī)范等問題帶來的信息安全風(fēng)險，建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型，明確了服務(wù)外包信息安全管理角色和責(zé)任，將管理活動劃分為規(guī)劃準(zhǔn)備、機(jī)構(gòu)和人員選擇、運(yùn)行監(jiān)督、改進(jìn)完成四個階段，提出具體信息安全管理要求，為政府部門信息技術(shù)服務(wù)外包的安全管理提供參考。該標(biāo)準(zhǔn)由 TC260 提出并歸口。

(四) GB/T 31168—2014《信息安全技術(shù)云計算服務(wù)安全能力要求》

該標(biāo)準(zhǔn)提出了云服務(wù)商應(yīng)具備的技術(shù)能力，適用于對政府部門使用的云計算服務(wù)進(jìn)行安全管理。標(biāo)準(zhǔn)從重要設(shè)備安全檢測情況，重要信息系統(tǒng)、組件獲服務(wù)的供應(yīng)鏈保護(hù)措施情況，供應(yīng)商情況等方面對云服務(wù)商的供應(yīng)鏈安全提出要求。該標(biāo)準(zhǔn)由TC260 提出并歸口。

(五) GB/T 24420—2009《供應(yīng)鏈風(fēng)險管理指南》

該標(biāo)準(zhǔn)在參考國際航天質(zhì)量標(biāo)準(zhǔn)、美國機(jī)動車工程師協(xié)會標(biāo)準(zhǔn)和歐洲航空航天工業(yè)協(xié)會標(biāo)準(zhǔn)《供應(yīng)鏈風(fēng)險管理指南》等標(biāo)準(zhǔn)的基礎(chǔ)上制定。標(biāo)準(zhǔn)給出了供應(yīng)鏈風(fēng)險管理的通用指南，包括供應(yīng)鏈風(fēng)險管理的步驟，以及識別、分析、評價和應(yīng)對供應(yīng)鏈風(fēng)險的方法和工具，適用于各類組織保護(hù)其在供應(yīng)鏈上進(jìn)行的產(chǎn)品的采購活動。該標(biāo)準(zhǔn)由全國風(fēng)險管理標(biāo)準(zhǔn)化技術(shù)委員會(TC 310)提出并歸口。

(六) 《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求(報批稿)》

該標(biāo)準(zhǔn)提出了關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)信息技術(shù)產(chǎn)品供應(yīng)鏈在設(shè)計、開發(fā)、采購、生產(chǎn)、交付和運(yùn)維等環(huán)節(jié)的安全要求，主要從安全漏洞缺陷的防范、安全運(yùn)營維護(hù)、供應(yīng)商管理、供應(yīng)來源多樣性等方面提出安全要求，適用于關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)加強(qiáng)信息技術(shù)產(chǎn)品供應(yīng)鏈安全。該標(biāo)準(zhǔn)由 TC260 提出并歸口，目前處于報批稿階段。

(七) 《信息安全技術(shù) 軟件供應(yīng)鏈安全(草案)》

該標(biāo)準(zhǔn)規(guī)定了軟件產(chǎn)品和服務(wù)供應(yīng)鏈所涉及相關(guān)要素的安全要求，包括軟件供應(yīng)鏈組織管理要求，以及開發(fā)、交付、使用等環(huán)節(jié)的安全要求。該標(biāo)準(zhǔn)由 TC260 提出并歸口，目前處在草案階段。

四、供應(yīng)鏈安全標(biāo)準(zhǔn)化工作建議

(一) ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)分析

目前，已發(fā)布和在研的 ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)主要從 ICT 供應(yīng)鏈生命周期和安全風(fēng)險兩個方面提出相應(yīng)安全要求。

ICT 供應(yīng)鏈生命周期安全通常從供應(yīng)方和需求方的不同角度提出安全要求。從供應(yīng)方角度，與傳統(tǒng)物流供應(yīng)鏈安全管理聚焦于將產(chǎn)品或服務(wù)從供應(yīng)方安全交付給需求方不同，供應(yīng)方 ICT 供應(yīng)鏈安全管理需要覆蓋 ICT 產(chǎn)品和服務(wù)的研發(fā)設(shè)計、生產(chǎn)交付，以及產(chǎn)品和服務(wù)的運(yùn)行維護(hù) 3 個主要環(huán)節(jié)。從需求方角度，需求方通常需要在現(xiàn)有管理制度基礎(chǔ)上進(jìn)一步明確供應(yīng)鏈管理制度的要求，建立供應(yīng)商目錄，開展采購管理。因此，需求方在 ICT 供應(yīng)鏈安全管理方面主要包括供應(yīng)商管理、采購?fù)獍?、管理制?3個環(huán)節(jié)。在安全風(fēng)險方面，ICT 供應(yīng)鏈主要面臨 6 類安全風(fēng)險，分別是惡意篡改、仿冒偽造、供應(yīng)中斷、信息泄露、安全漏洞和其他安全威脅。

ISO/IEC 27036《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系的信息安全》系列標(biāo)準(zhǔn)基于過程模型建立了采購過程(主要是供應(yīng)商選擇和采購?fù)獍?和供應(yīng)過程(主要是生產(chǎn)交付)，并在信息安全管理體系基礎(chǔ)上增加供應(yīng)鏈的管理制度和措施。

ISO/IEC 20243《信息技術(shù) 開放可信技術(shù)提供商標(biāo)準(zhǔn) 減少惡意和仿冒組件》系列標(biāo)準(zhǔn)主要針對 ICT產(chǎn)品和服務(wù)在研發(fā)設(shè)計、生產(chǎn)交付、運(yùn)行維護(hù)等環(huán)節(jié)面臨的惡意篡改、仿冒偽造安全風(fēng)險提出應(yīng)對措施。

ISO 28000《供應(yīng)鏈安全管理體系規(guī)范》建立了供應(yīng)鏈安全的管理體系，用于提高供應(yīng)鏈在生產(chǎn)交付方面的安全性。

NIST SP 800-161《聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險管理實踐》建立了聯(lián)邦政府部門和機(jī)構(gòu)的供應(yīng)鏈的風(fēng)險管理模型，提出了覆蓋 ICT 供應(yīng)鏈生命周期各環(huán)節(jié)的安全控制措施。

GB/T 36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險管理指南》覆蓋了供應(yīng)方和需求方在 ICT 供應(yīng)鏈生命周期中的各環(huán)節(jié)，并針對各類安全風(fēng)險提出安全要求和相應(yīng)安全控制措施。

GB/T 32921—2016《信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》主要針對運(yùn)行維護(hù)環(huán)節(jié)存在的信息泄露風(fēng)險提出安全要求，規(guī)范供應(yīng)方行為。

GB/T 32926-2016《信息安全技術(shù) 政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》主要針對信息泄露、安全漏洞等安全風(fēng)險，提出采購?fù)獍凸芾碇贫鹊拳h(huán)節(jié)的安全要求。

GB/T 31168—2014《信息安全技術(shù) 云計算服務(wù)安全能力要求》主要針對云計算服務(wù)在供應(yīng)商管理、采購?fù)獍拳h(huán)節(jié)可能存在的安全風(fēng)險提出安全要求。

GB/T 24420—2009《供應(yīng)鏈風(fēng)險管理指南》提出了供應(yīng)鏈安全風(fēng)險的分析框架，主要針對生產(chǎn)交付環(huán)節(jié)提出安全要求。

在研標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求(報批稿)》覆蓋了 ICT供應(yīng)鏈的生命周期，主要針對關(guān)鍵信息基礎(chǔ)設(shè)施和政務(wù)信息系統(tǒng)供應(yīng)鏈安全提出安全要求。

(二) ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)建議

為加強(qiáng)我國供應(yīng)鏈安全管理力度，發(fā)揮網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對政策法規(guī)的支撐作用，推動供應(yīng)鏈安全標(biāo)準(zhǔn)體系化，結(jié)合 ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)現(xiàn)狀，提出以下三方面建議：

一是梳理分析 ICT 供應(yīng)鏈監(jiān)管方面的安全需求，推進(jìn)相關(guān)標(biāo)準(zhǔn)研制。目前，國內(nèi)外 ICT 供應(yīng)鏈安全標(biāo)準(zhǔn)主要從供應(yīng)方、需求方兩個維度，圍繞 ICT 供應(yīng)鏈的生命周期，以及可能面臨的主要安全風(fēng)險提出相關(guān)安全要求。隨著《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等法律法規(guī)的出臺，ICT 供應(yīng)鏈安全在經(jīng)濟(jì)社會安全、國家安全中的作用和影響不斷強(qiáng)化。加強(qiáng) ICT 供應(yīng)鏈的安全監(jiān)管，保障供應(yīng)鏈安全已經(jīng)成為政府部門、學(xué)術(shù)研究領(lǐng)域和 ICT 產(chǎn)業(yè)的共識，急需針對 ICT 供應(yīng)鏈安全監(jiān)管要求，開展標(biāo)準(zhǔn)化需求分析，推動 ICT 供應(yīng)鏈安全管理能力提升。

二是加快供應(yīng)鏈安全測試評估相關(guān)標(biāo)準(zhǔn)研制，推動安全要求標(biāo)準(zhǔn)的有效落地實施。已發(fā)布和在研的 ICT 供應(yīng)鏈安全國家標(biāo)準(zhǔn)主要針對各類安全風(fēng)險提出安全要求和相應(yīng)控制措施。相關(guān)標(biāo)準(zhǔn)明確了安全要求，但并未進(jìn)一步針對安全控制措施的實施給出明確指導(dǎo)，準(zhǔn)確、客觀評價 ICT 供應(yīng)鏈安全管理水平存在一定難度。針對該問題，急需開展 ICT 供應(yīng)鏈安全測試評估相關(guān)標(biāo)準(zhǔn)的研制，通過建立合理化的測試評估流程，推動 ICT 供應(yīng)鏈安全要求和控制措施的有效落地。

三是加大需求方供應(yīng)鏈安全管理問題分析力度，強(qiáng)化對信息泄露、供應(yīng)鏈中斷等安全風(fēng)險相關(guān)技術(shù)措施的研究。目前，已發(fā)布和在研標(biāo)準(zhǔn)側(cè)重點多集中于供應(yīng)方角度，安全要求集中在研發(fā)設(shè)計、生產(chǎn)交付和運(yùn)行維護(hù)等環(huán)節(jié)。針對需求方供應(yīng)鏈安全管理，特別是針對供應(yīng)商管理、采購?fù)獍南嚓P(guān)研究有待加強(qiáng)。在安全風(fēng)險應(yīng)對方面，已發(fā)布和在研標(biāo)準(zhǔn)主要關(guān)注于惡意篡改、偽造仿冒、安全漏洞等風(fēng)險的防范，對于信息泄露、供應(yīng)鏈中斷等安全風(fēng)險，針對性的要求和技術(shù)措施較少。因此，急需在相關(guān)標(biāo)準(zhǔn)研制中予以重點關(guān)注。

(本文刊登于《中國信息安全》雜志2021年第10期)

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202307/ccaa_53050.html