隨著經(jīng)濟全球化的日益深入和信息通信技術的飛速發(fā)展，信息通信技術供應鏈(簡稱“ICT 供應鏈”)已經(jīng)發(fā)展為一個遍布全球的復雜系統(tǒng)。這一復雜系統(tǒng)中任一組件、任一環(huán)節(jié)出現(xiàn)問題，均可能帶來信息通信產(chǎn)品和服務的安全問題，進而影響信息通信行業(yè)安全、經(jīng)濟社會發(fā)展安全，乃至國家安全。作為網(wǎng)絡安全工作的重要一環(huán)，如何加強 ICT 供應鏈安全管理，有效保障供應鏈安全已經(jīng)成為學術和產(chǎn)業(yè)領域研究的熱點問題之一。

一、國內(nèi)外政策法規(guī)情況

美歐等發(fā)達國家和地區(qū)在信息技術供應鏈安全管理領域起步較早，出臺了大量政策法規(guī)和標準規(guī)范，用于加強 ICT 供應鏈安全管理。我國近年來也不斷出臺相關法律規(guī)范，逐步完善 ICT 供應鏈安全管理工作。

(一)美國

2018 年 9 月，特朗普政府發(fā)布《國家網(wǎng)絡戰(zhàn)略》，要求改進聯(lián)邦供應鏈風險管理。為確保聯(lián)邦政府部署應用的技術安全可靠，該戰(zhàn)略提出在聯(lián)邦機構(gòu)采購和風險管理流程中整合供應鏈風險管理的要求。同時，要求各部門和機構(gòu)之間要更好地共享供應鏈安全風險信息，通過建立供應鏈安全風險評估共享服務等方式，提高對供應鏈威脅的認識，減少政府內(nèi)部重復的供應鏈活動。

2018 年 12 月，美國國會通過了《聯(lián)邦采購供應鏈安全法案》。該法案設立了新的聯(lián)邦采購安全理事會，授權其為聯(lián)邦供應鏈安全制定規(guī)則，以增強聯(lián)邦采購和采購規(guī)則的網(wǎng)絡安全彈性。同年 12 月，美國國土安全部正式組建 ICT 供應鏈風險管理特別任務組。該任務組主要職責時識別全球 ICT 供應鏈安全風險挑戰(zhàn)，并提供可操作的解決方案。

2019 年 5 月，特朗普簽署第 13873 號《確保信息通信技術與服務供應鏈安全行政令》，要求商務部長、國務卿、國土安全部、國家情報總監(jiān)分別根據(jù)自身職責開展持續(xù)性評估工作，每年均需發(fā)布相關評估報告。其中，國家情報總監(jiān)負責對外國擁有、控制、管轄的信息通信技術或服務，以及由國外設計、開發(fā)、制造的信息通信技術或服務可能給美國帶來的威脅進行評估。國土安全部負責對存在安全漏洞并對美國國家安全造成重大潛在威脅的實體、硬件、軟件和服務進行評估。

2021 年 2 月，拜登簽署了第 14017 號《美國供應鏈行政令》，要求聯(lián)邦機構(gòu)對關鍵領域和行業(yè)的全球供應鏈進行審查，包括在行政令發(fā)布后的 100天內(nèi)針對包括半導體芯片的四個關鍵領域的供應鏈進行審查;在行政令發(fā)布后的一年之內(nèi)對國防、醫(yī)療衛(wèi)生、通信技術、能源、交通和食品生產(chǎn)六個行業(yè)進行供應鏈審查。

(二)歐盟

2015 年 8 月，歐洲網(wǎng)絡與信息安全局(ENISA)發(fā)布《供應鏈完整性：ICT 供應鏈風險和挑戰(zhàn)概述，以及發(fā)展方向愿景》報告，指出 ICT 供應鏈完整性是國家經(jīng)濟發(fā)展的關鍵因素，提高供應鏈完整度對公共和私營部門意義重大，并建議供應鏈安全管理應遵循同一套實踐，為評估和管理提供共同的基礎，政府應與企業(yè)合作建立 ICT 供應鏈安全風險評估框架。

2021 年 7 月，ENISA 發(fā)布了《ENISA 的供應鏈攻擊威脅情景》，對供應鏈攻擊進行了分類，并對從 2020 年 1 月到 7 月初的 24 起供應鏈攻擊事件進行了研究，對供應鏈攻擊者來源、攻擊手段、攻擊目標以及應對措施進行了分析。

(三)俄羅斯

2012 年，俄羅斯推出了《工業(yè)發(fā)展及其競爭力提升國家綱要》，針對產(chǎn)品生命周期，研究制定一系列綜合性保障措施，其主旨就是要盡快形成和完善俄羅斯的產(chǎn)業(yè)體系，減少對國外技術和產(chǎn)品依賴。

(四)我國相關政策法規(guī)

《網(wǎng)絡安全法》第三十五條“關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查”和第三十六條“關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任”，分別從網(wǎng)絡安全審查、網(wǎng)絡產(chǎn)品和服務安全角度對供應鏈安全提出要求。

2019 年 7 月，國家互聯(lián)網(wǎng)信息辦公室等四部門發(fā)布《云計算服務安全評估辦法》，要求云計算服務安全評估工作中，應重點評估“云平臺技術、產(chǎn)品和服務供應鏈安全情況”。申請安全評估的云服務商應提交“業(yè)務連續(xù)性和供應鏈安全報告”。

2020 年 4 月，《網(wǎng)絡安全審查辦法》明確提出，為了確保關鍵信息基礎設施供應鏈安全，維護國家安全，對關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務，影響或可能影響國家安全的，應進行網(wǎng)絡安全審查。

2021 年 7 月 30 日正式公布的《關鍵信息基礎設施安全保護條例》第十九條明確指出：“運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務;采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，應當按照國家網(wǎng)絡安全規(guī)定通過安全審查”。

二、國外標準情況

(一)ISO/IEC 27036《信息技術 安全技術供應商關系的信息安全》系列標準

該系列標準由 ISO/IEC JTC1/SC27 研制，旨在確保組織戰(zhàn)略目標和商業(yè)需求實現(xiàn)的同時，降低采購方和供應方在供應關系中存在的信息安全風險。ISO/IEC JTC1/SC27 是國際標準化組織(ISO)和國際電工委員會(IEC)第一聯(lián)合技術委員會(JTC1)下的“信息安全、網(wǎng)絡安全和隱私保護分技術委員會”，負責網(wǎng)絡安全領域國際標準化工作。

該系列標準包括四個部分，分別是 ISO/IEC27036-1：2021《第 1 部分：概述和相關概念》，提供了 27036 系列標準的總體介紹，對供應商關系的類型、相關安全風險以及風險管理相關概念進行了描述;ISO/IEC 27036-2：2014《第 2 部分：通用要求》，對供應關系中的信息安全進行定義，并對實施、操作、評估、應對措施等提出了通用要求;ISO/IEC 27036-3：2013《第 3 部分：供應鏈安全指南》，對 ICT 供應鏈中產(chǎn)品和服務的安全風險進行描述和分析，給出了應對相應風險的措施;ISO/IEC 27036-4：2016《第 4 部分：云服務安全指南》，提出了云計算服務在 ICT 供應鏈方面存在的安全風險及相關應對措施。

(二)ISO/IEC 20243《信息技術 開放可信技術提供商標準 減少惡意和仿冒組件》系列標準

該系列標準包括 ISO/IEC 20243-1：2018《要求和建議》、ISO/IEC 20243-2：2018《O-TTPS 和ISO/IEC 20243-1：2018 的評估流程》兩個部分，針對信息通信技術硬件和軟件在產(chǎn)品生命周期內(nèi)面臨的完整性威脅，特別是惡意和仿冒組件帶來的安全風險，提供了一套應對準則、方針和建議。

(三)ISO 28000《供應鏈安全管理體系規(guī)范》

該標準作為一套供應鏈安全管理規(guī)范，說明了組織建立、實施供應鏈安全管理體系的要求，保障供應鏈安全的重要內(nèi)容，為各類組織開展供應鏈安全管理提供了一個較為系統(tǒng)的管理模式。

(四)NIST SP 800-161《聯(lián)邦信息系統(tǒng)和組織的供應鏈風險管理實踐》

該標準是美國國家標準技術研究院在 NIST SP800-39《管理信息安全風險：組織、任務和信息系統(tǒng)視角》、NIST SP 800-53《信息系統(tǒng)和組織的安全和隱私控制措施》基礎上，針對為聯(lián)邦信息系統(tǒng)和機構(gòu)供應鏈方面面臨的安全風險，提出的 ICT 供應鏈安全風險控制流程和措施。該標準通過提出將供應鏈安全風險納入組織整體的風險管理過程，并給出 19 類 ICT 供應鏈安全控制措施，以減少聯(lián)邦信息系統(tǒng)和組織面臨的供應鏈安全風險。

三、我國相關標準

(一) GB/T 36637—2018《信息安全技術ICT 供應鏈安全風險管理指南》

該標準分析了 ICT 供應鏈的特點，梳理了 ICT 供應鏈面臨的典型安全威脅和安全脆弱性。在通用風險管理模型基礎上，提出了 ICT 供應鏈風險管理過程，細化風險管理的步驟和實施細則，提出了供應鏈完整性保護、可追溯性等技術安全措施，以及制度和人員管理、供應鏈生命周期管理、采購外包與供應商管理等管理安全措施，為 ICT 產(chǎn)品和服務的供應方和需求方加強供應鏈安全管理提供指導。該標準由全國信息安全標準化技術委員會(TC260)提出并歸口。

(二) GB/T 32921—2016《信息安全技術信息技術產(chǎn)品供應方行為安全準則》

該標準規(guī)定了信息技術產(chǎn)品供應方在提供信息技術產(chǎn)品過程中，為保護用戶相關信息，維護用戶信息安全應遵守的基本準則，分別從用戶相關信息收集和處理的安全、遠程控制用戶產(chǎn)品的安全和其他行為安全等方面提出相關安全要求，適用于信息技術產(chǎn)品供應、運行或維護過程中的供應方行為管理。該標準由 TC260 提出并歸口。

(三) GB/T 32926—2016《信息安全技術政府部門信息技術服務外包信息安全管理規(guī)范》

該標準針對政府部門在使用信息技術服務外包時面臨的外包服務機構(gòu)背景復雜、服務人員流動性大、內(nèi)部管理不規(guī)范等問題帶來的信息安全風險，建立了政府部門信息技術服務外包信息安全管理模型，明確了服務外包信息安全管理角色和責任，將管理活動劃分為規(guī)劃準備、機構(gòu)和人員選擇、運行監(jiān)督、改進完成四個階段，提出具體信息安全管理要求，為政府部門信息技術服務外包的安全管理提供參考。該標準由 TC260 提出并歸口。

(四) GB/T 31168—2014《信息安全技術云計算服務安全能力要求》

該標準提出了云服務商應具備的技術能力，適用于對政府部門使用的云計算服務進行安全管理。標準從重要設備安全檢測情況，重要信息系統(tǒng)、組件獲服務的供應鏈保護措施情況，供應商情況等方面對云服務商的供應鏈安全提出要求。該標準由TC260 提出并歸口。

(五) GB/T 24420—2009《供應鏈風險管理指南》

該標準在參考國際航天質(zhì)量標準、美國機動車工程師協(xié)會標準和歐洲航空航天工業(yè)協(xié)會標準《供應鏈風險管理指南》等標準的基礎上制定。標準給出了供應鏈風險管理的通用指南，包括供應鏈風險管理的步驟，以及識別、分析、評價和應對供應鏈風險的方法和工具，適用于各類組織保護其在供應鏈上進行的產(chǎn)品的采購活動。該標準由全國風險管理標準化技術委員會(TC 310)提出并歸口。

(六) 《信息安全技術 關鍵信息基礎設施信息技術產(chǎn)品供應鏈安全要求(報批稿)》

該標準提出了關鍵信息基礎設施、政務信息系統(tǒng)信息技術產(chǎn)品供應鏈在設計、開發(fā)、采購、生產(chǎn)、交付和運維等環(huán)節(jié)的安全要求，主要從安全漏洞缺陷的防范、安全運營維護、供應商管理、供應來源多樣性等方面提出安全要求，適用于關鍵信息基礎設施、政務信息系統(tǒng)加強信息技術產(chǎn)品供應鏈安全。該標準由 TC260 提出并歸口，目前處于報批稿階段。

(七) 《信息安全技術 軟件供應鏈安全(草案)》

該標準規(guī)定了軟件產(chǎn)品和服務供應鏈所涉及相關要素的安全要求，包括軟件供應鏈組織管理要求，以及開發(fā)、交付、使用等環(huán)節(jié)的安全要求。該標準由 TC260 提出并歸口，目前處在草案階段。

四、供應鏈安全標準化工作建議

(一) ICT 供應鏈安全標準分析

目前，已發(fā)布和在研的 ICT 供應鏈安全標準主要從 ICT 供應鏈生命周期和安全風險兩個方面提出相應安全要求。

ICT 供應鏈生命周期安全通常從供應方和需求方的不同角度提出安全要求。從供應方角度，與傳統(tǒng)物流供應鏈安全管理聚焦于將產(chǎn)品或服務從供應方安全交付給需求方不同，供應方 ICT 供應鏈安全管理需要覆蓋 ICT 產(chǎn)品和服務的研發(fā)設計、生產(chǎn)交付，以及產(chǎn)品和服務的運行維護 3 個主要環(huán)節(jié)。從需求方角度，需求方通常需要在現(xiàn)有管理制度基礎上進一步明確供應鏈管理制度的要求，建立供應商目錄，開展采購管理。因此，需求方在 ICT 供應鏈安全管理方面主要包括供應商管理、采購外包、管理制度 3個環(huán)節(jié)。在安全風險方面，ICT 供應鏈主要面臨 6 類安全風險，分別是惡意篡改、仿冒偽造、供應中斷、信息泄露、安全漏洞和其他安全威脅。

ISO/IEC 27036《信息技術 安全技術 供應商關系的信息安全》系列標準基于過程模型建立了采購過程(主要是供應商選擇和采購外包)和供應過程(主要是生產(chǎn)交付)，并在信息安全管理體系基礎上增加供應鏈的管理制度和措施。

ISO/IEC 20243《信息技術 開放可信技術提供商標準 減少惡意和仿冒組件》系列標準主要針對 ICT產(chǎn)品和服務在研發(fā)設計、生產(chǎn)交付、運行維護等環(huán)節(jié)面臨的惡意篡改、仿冒偽造安全風險提出應對措施。

ISO 28000《供應鏈安全管理體系規(guī)范》建立了供應鏈安全的管理體系，用于提高供應鏈在生產(chǎn)交付方面的安全性。

NIST SP 800-161《聯(lián)邦信息系統(tǒng)和組織的供應鏈風險管理實踐》建立了聯(lián)邦政府部門和機構(gòu)的供應鏈的風險管理模型，提出了覆蓋 ICT 供應鏈生命周期各環(huán)節(jié)的安全控制措施。

GB/T 36637—2018《信息安全技術 ICT 供應鏈安全風險管理指南》覆蓋了供應方和需求方在 ICT 供應鏈生命周期中的各環(huán)節(jié)，并針對各類安全風險提出安全要求和相應安全控制措施。

GB/T 32921—2016《信息安全技術 信息技術產(chǎn)品供應方行為安全準則》主要針對運行維護環(huán)節(jié)存在的信息泄露風險提出安全要求，規(guī)范供應方行為。

GB/T 32926-2016《信息安全技術 政府部門信息技術服務外包信息安全管理規(guī)范》主要針對信息泄露、安全漏洞等安全風險，提出采購外包和管理制度等環(huán)節(jié)的安全要求。

GB/T 31168—2014《信息安全技術 云計算服務安全能力要求》主要針對云計算服務在供應商管理、采購外包等環(huán)節(jié)可能存在的安全風險提出安全要求。

GB/T 24420—2009《供應鏈風險管理指南》提出了供應鏈安全風險的分析框架，主要針對生產(chǎn)交付環(huán)節(jié)提出安全要求。

在研標準《信息安全技術 關鍵信息基礎設施信息技術產(chǎn)品供應鏈安全要求(報批稿)》覆蓋了 ICT供應鏈的生命周期，主要針對關鍵信息基礎設施和政務信息系統(tǒng)供應鏈安全提出安全要求。

(二) ICT 供應鏈安全標準建議

為加強我國供應鏈安全管理力度，發(fā)揮網(wǎng)絡安全標準對政策法規(guī)的支撐作用，推動供應鏈安全標準體系化，結(jié)合 ICT 供應鏈安全標準現(xiàn)狀，提出以下三方面建議：

一是梳理分析 ICT 供應鏈監(jiān)管方面的安全需求，推進相關標準研制。目前，國內(nèi)外 ICT 供應鏈安全標準主要從供應方、需求方兩個維度，圍繞 ICT 供應鏈的生命周期，以及可能面臨的主要安全風險提出相關安全要求。隨著《網(wǎng)絡安全法》《關鍵信息基礎設施保護條例》等法律法規(guī)的出臺，ICT 供應鏈安全在經(jīng)濟社會安全、國家安全中的作用和影響不斷強化。加強 ICT 供應鏈的安全監(jiān)管，保障供應鏈安全已經(jīng)成為政府部門、學術研究領域和 ICT 產(chǎn)業(yè)的共識，急需針對 ICT 供應鏈安全監(jiān)管要求，開展標準化需求分析，推動 ICT 供應鏈安全管理能力提升。

二是加快供應鏈安全測試評估相關標準研制，推動安全要求標準的有效落地實施。已發(fā)布和在研的 ICT 供應鏈安全國家標準主要針對各類安全風險提出安全要求和相應控制措施。相關標準明確了安全要求，但并未進一步針對安全控制措施的實施給出明確指導，準確、客觀評價 ICT 供應鏈安全管理水平存在一定難度。針對該問題，急需開展 ICT 供應鏈安全測試評估相關標準的研制，通過建立合理化的測試評估流程，推動 ICT 供應鏈安全要求和控制措施的有效落地。

三是加大需求方供應鏈安全管理問題分析力度，強化對信息泄露、供應鏈中斷等安全風險相關技術措施的研究。目前，已發(fā)布和在研標準側(cè)重點多集中于供應方角度，安全要求集中在研發(fā)設計、生產(chǎn)交付和運行維護等環(huán)節(jié)。針對需求方供應鏈安全管理，特別是針對供應商管理、采購外包的相關研究有待加強。在安全風險應對方面，已發(fā)布和在研標準主要關注于惡意篡改、偽造仿冒、安全漏洞等風險的防范，對于信息泄露、供應鏈中斷等安全風險，針對性的要求和技術措施較少。因此，急需在相關標準研制中予以重點關注。

(本文刊登于《中國信息安全》雜志2021年第10期)

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構(gòu)，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.1cjaei.cn/zs/202307/ccaa_53050.html