标准搜索结果: 'GB/T 36637-2018'
| 标准编号 | GB/T 36637-2018 (GB/T36637-2018) | | 中文名称 | 信息安全技术 ICT供应链安全风险管理指南 | | 英文名称 | Information security technology -- Guidelines for the information and communication technology supply chain risk management | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 30,360 | | 发布日期 | 2018-10-10 | | 实施日期 | 2019-05-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 36637-2018
(Information Security Technology ICT Supply Chain Security Risk Management Guide)
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
ICT供应链安全风险管理指南
2018-10-10发布
2019-05-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 概述 2
6 ICT供应链安全风险管理过程 3
6.1 概述 3
6.2 背景分析 3
6.3 风险评估 4
6.4 风险处置 7
6.5 风险监督和检查 7
6.6 风险沟通和记录 8
7 ICT供应链安全风险控制措施 8
7.1 概述 8
7.2 技术安全措施 8
7.3 管理安全措施 10
附录 A(资料性附录) ICT供应链概述 16
附录B(资料性附录) ICT供应链安全威胁 18
附录C(资料性附录) ICT供应链安全脆弱性 21
参考文献 25
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究院、中国科学院软件研究所、联想(北京)有限公司、华为
技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴(北京)软件服务有限公司、北京京
东叁佰陆拾度电子商务有限公司、中国信息通信研究院、微软(中国)有限公司、浪潮电子信息产业股份
有限公司、国家信息技术安全研究中心、英特尔(中国)有限公司、北京赛西科技发展有限责任公司、阿里
云计算有限公司、中国信息安全认证中心、中国科学院信息工程研究所信息安全国家重点实验室、北京
工业大学、北京邮电大学、北京中电普华信息技术有限公司。
本标准主要起草人:刘贤刚、胡影、卿斯汉、叶润国、孙彦、李汝鑫、薛勇波、范科峰、王昕、白晓媛、
黄少青、刘陶、赵江、杨煜东、赵丹丹、张凡、陈星、宁华、樊洞阳、陈晔、吴迪、朱红儒、杨震、马占宇、
曹占峰。
引 言
随着信息通信技术的普及应用,加强ICT供应链的安全可控保障变得至关重要。目前,世界各国
和ICT行业已普遍认识到,相比传统行业ICT行业供应链更加复杂,存在安全风险的概率更大。加强
ICT供应链安全管理,可增强客户对ICT供应链以及ICT行业的安全信任。
与传统供应链相比,ICT供应链具有许多不同的特点,例如:ICT供应链涵盖ICT产品和服务的全
生命周期,不仅包括传统供应链的生产、集成、仓储、交付等供应阶段,也包括产品服务的设计开发阶段
和售后运维阶段;ICT产品由全球分布的供应商开发、集成或交付,供应链的全球分布性使得客户对供
应链的掌握情况和安全风险控制能力在下降;传统供应链主要关注如何将产品有效地交付给客户,或者
供应链健壮性的强度,而ICT供应链安全更关注是否会有额外的功能注入产品和服务中,交付的产品
和服务是否与预期一致等。这些特点使得ICT供应链比传统供应链存在更多的安全风险,加强ICT供
应链的安全风险管理刻不容缓。
本标准不规范信息技术产品供应方的安全行为准则。推荐在关键信息基础设施或重要信息系统中
使用本标准。然而,由于个别需要和相关性,组织可选择将标准应用到其他系统或特定组织,不过应用
本标准的控制措施可能会增加组织和外部供应商的潜在成本,需要组织在成本和风险间进行权衡。
信息安全技术
ICT供应链安全风险管理指南
1 范围
本标准规定了信息通信技术(以下简称ICT)供应链的安全风险管理过程和控制措施。
本标准适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风
险管理,也适用于指导ICT产品和服务的供方和需方加强供应链安全管理,同时还可供第三方测评机
构对ICT供应链进行安全风险评估时参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
GB/T 31722-2015 信息技术 安全技术 信息安全风险管理
3 术语和定义
GB/T 25069-2010和GB/T 31722-2015界定的以及下列术语和定义适用于本文件。
3.1
ICT需方 ICTacquirer
从其他组织获取ICT产品和服务的组织或个人。
注1:获取可能涉及或不涉及资金交换。
注2:重要信息系统和关键信息基础设施的运营者,通常是从ICT供方获取网络产品和服务的ICT需方。
3.2
ICT供方 ICTsupplier
提供ICT产品和服务的组织。
注1:供方也可称供应商、供应方。
注2:供方可以是内部的或外部的组织。
注3:ICT供方包括产品供应商、服务提供商、系统集成商、生产商、销售商、代理商等。
3.3
供应关系 supplierrelation
在需方和供方......
|