国家标准信息安全技术ICT供应链安全风险管理指引草案编制.docx

国家标准《信息安全技术ICT供应链安全风险管理指南》(草案)编制说明一、,名为“信息安全技术ICT供应链安全风险管理指南”(以下简称《供应链指南》),计划号为20120528-T-469。该标准规定了ICT供应链安全风险管理的过程和控制措施。本项目由中国电子技术标准化研究院负责具体实施,参与起草单位包括中国科学院软件研究所、***有限公司、联想(北京)有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴(北京)软件服务有限公司、北京京东叁佰陆拾度电子商务有限公司、中国信息通信研究院、浪潮电子信息产业股份有限公司、微软(中国)有限公司、国家信息技术安全研究中心、英特尔(中国)有限公司、阿里云计算有限公司、中国信息安全认证中心、清华同方计算机有限公司、中国科学院信息工程研究所信息安全国家重点实验室。,成立标准编制组考虑到信息通信技术产品和服务的产业现状,标准编制组广泛吸收了国内的研究机构、第三方测评机构、信息通信技术企业参与到标准研制工作,同时按照相关程序,接受了部分国外企业作为观察成员,参与标准研制过程。,调研国内外供应链安全标准现状研究现有国内外供应链安全相关标准,分析各自特点,学****借鉴,主要包括:《供应链风险管理指南》(GB/T24420)《信息技术安全技术信息安全风险管理》(GB/T31722,即ISO/IEC27005)《信息安全技术信息安全风险管理指南》(GB/Z24364)《信息安全技术信息安全风险评估规范》(GB/T20984)《信息安全技术信息安全风险评估实施指南》(GB/T31509)1TM6)《信息技术安全技术信息安全管理实用规则》(GB/T22081,即ISO/IEC27002)《信息安全技术云计算服务安全能力要求》(GB/T31168)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239)9)《信息安全技术政府部门信息安全管理基本要求》(GB/T29245)10)《信息安全技术32921)信息技术产品供应方行为安全准则》(GB/T《Informationtechnology-Securitytechniques-CodeofpracticeforInformationsecuritycontrols》(ISO/IEC27002)《Informationtechnology-Securitytechniques-Informationsecurityforsupplierrelationships》(ISO/IEC27036)《Systemsandsoftwareengineering-Systemsandsoftwareassurance》(ISO/IEC15026)《InformationTechnology-OpenTrustedTechnologyProviderStandard(O-TTPS)-Mitigatingmaliciouslytaintedandcounterfeitproducts》(ISO/IEC22043)《anizations》(NISTSP800-161)《anizations》(NISTSP800-53)-9月,调研国内信息通信技术产品和服务供应链安全需求与产业现状2013年7-9月,与国内外信息通信技术产品和服务厂商、第三方测评机构等代表进行研讨,并到个别厂商和政府机构实地调研情况,了解信息通信技术产品和服务供应链的管理现状与安全需求。,召开标准启动会,确定标准范围和框架2013年10月编制组召开标准启动会,与参与单位共同讨论,明确了标准的适用范围和草案框架。,初步形成标准草案,编制组内开会讨论2根据标准草案框架,,并于2014年12月召开标准内部研讨会,与编制组成员进行研讨,会上对于ICT供应链安全管理指南的适用对象(主要面向政府机关和大型国有企业)达成了共识。但是对于ICT供应链安全管理指南的具体框架内容还存在部分争议,需要未来进一步协商明确。-12月,ICT供应链信任研究课题,为标准工作提供了基础。2016年1月至12月,中国电子技术标准化研究院与微软公司联合开展了“ICT供应链信任”课题研究,并于2016年2月27日、6月7日召开了两次中美专家之间的ICT供应链安全信任研讨会,目前课题已经形成研究报告,课题成果为供应链标准编制工作奠定了基础。,成都标准会议周汇报标准编制工作,并进行研讨2016年10月在成都召开的标准会议周上汇报标准编制工作,分析了原有标准草案的不足,并提出了新的标准框架