GB/T 36637-2018信息安全技术ICT供应链安全风险管理指南

ICS35040

L80.

中华人民共和国国家标准

GB/T36637—2018

信息安全技术

ICT供应链安全风险管理指南

Informationsecuritytechnology—Guidelinesfortheinformationand

communicationtechnologysupplychainriskmanagement

2018-10-10发布2019-05-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T36637—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………2

供应链安全风险管理过程

6ICT…………3

概述

6.1…………………3

背景分析

6.2……………3

风险评估

6.3……………4

风险处置

6.4……………7

风险监督和检查

6.5……………………7

风险沟通和记录

6.6……………………8

供应链安全风险控制措施

7ICT…………8

概述

7.1…………………8

技术安全措施

7.2………………………8

管理安全措施

7.3………………………10

附录资料性附录供应链概述

A()ICT…………………16

附录资料性附录供应链安全威胁

B()ICT……………18

附录资料性附录供应链安全脆弱性

C()ICT…………21

参考文献

……………………25

Ⅰ

GB/T36637—2018

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国电子技术标准化研究院中国科学院软件研究所联想北京有限公司华为

:、、()、

技术有限公司浙江蚂蚁小微金融服务集团股份有限公司阿里巴巴北京软件服务有限公司北京京

、、()、

东叁佰陆拾度电子商务有限公司中国信息通信研究院微软中国有限公司浪潮电子信息产业股份

、、()、

有限公司国家信息技术安全研究中心英特尔中国有限公司北京赛西科技发展有限责任公司阿里

、、()、、

云计算有限公司中国信息安全认证中心中国科学院信息工程研究所信息安全国家重点实验室北京

、、、

工业大学北京邮电大学北京中电普华信息技术有限公司

、、。

本标准主要起草人刘贤刚胡影卿斯汉叶润国孙彦李汝鑫薛勇波范科峰王昕白晓媛

:、、、、、、、、、、

黄少青刘陶赵江杨煜东赵丹丹张凡陈星宁华樊洞阳陈晔吴迪朱红儒杨震马占宇

、、、、、、、、、、、、、、

曹占峰

。

Ⅲ

GB/T36637—2018

引言

随着信息通信技术的普及应用加强供应链的安全可控保障变得至关重要目前世界各国

,ICT。,

和行业已普遍认识到相比传统行业行业供应链更加复杂存在安全风险的概率更大加强

ICT,ICT,。

供应链安全管理可增强客户对供应链以及行业的安全信任

ICT,ICTICT。

与传统供应链相比供应链具有许多不同的特点例如供应链涵盖产品和服务的全

,ICT,:ICTICT

生命周期不仅包括传统供应链的生产集成仓储交付等供应阶段也包括产品服务的设计开发阶段

,、、、,

和售后运维阶段产品由全球分布的供应商开发集成或交付供应链的全球分布性使得客户对供

;ICT、,

应链的掌握情况和安全风险控制能力在下降传统供应链主要关注如何将产品有效地交付给客户或者

;,

供应链健壮性的强度而供应链安全更关注是否会有额外的功能注入产品和服务中交付的产品

,ICT,

和服务是否与预期一致等这些特点使得供应链比传统供应链存在更多的安全风险加强供

。ICT,ICT

应链的安全风险管理刻不容缓

。

本标准不规范信息技术产品供应方的安全行为准则推荐在关键信息基础设施或重要信息系统中

。

使用本标准然而由于个别需要和相关性组织可选择将标准应用到其他系统或特定组织不过应用

。,,,

本标准的控制措施可能会增加组织和外部供应商的潜在成本需要组织在成本和风险间进行权衡

,。

Ⅳ

GB/T36637—2018

信息安全技术

ICT供应链安全风险管理指南

1范围

本标准规定了信息通信技术以下简称供应链的安全风险管理过程和控制措施

(ICT)。

本标准适用于重要信息系统和关键信息基础设施的供方和运营者对供应链进行安全风

ICTICT

险管理也适用于指导产品和服务的供方和需方加强供应链安全管理同时还可供第三方测评机

,ICT,

构对供应链进行安全风险评估时参考

ICT。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

信息技术安全技术信息安全风险管理

GB/T31722—2015

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069—2010GB/T31722—2015。

31

.

ICT需方ICTacquirer

从其他组织获取产品和服务的组织或个人

ICT。

注1获取可能涉及或不涉及资金交换

:。

注2重要信息系统和关键信息基础设施的运营者通常是从供方获取网络产品和服务的需方

:,ICTICT。

32

.

ICT供方ICTsupplier

提供产品和服务的组织

ICT。

注1供方也可称供应商供应方