信息安全技术 软件供应链安全要求-编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2022年下达的国家标准制修订计划：《信息安全

技术软件供应链安全要求》，国标计划号：20220164-T-469，标准由中国信息

安全测评中心负责起草，由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心负责起草，中国电子技术标准化研究院、国家计算机

网络应急技术处理协调中心、华为技术有限公司、中国软件评测中心、诺基亚通

信系统技术（北京）有限公司、网神信息技术（北京）股份有限公司、深信服科

技股份有限公司、联想（北京）有限公司、北京天融信网络安全技术有限公司、

国网新疆电力有限公司电力科学研究院、国家信息技术安全研究中心、长扬科技

（北京）有限公司、深圳开源互联网安全技术有限公司、中国网络安全审查技术

与认证中心、国家计算机网络应急技术处理协调中心黑龙江分中心、杭州安恒信

息技术股份有限公司、北京鸿腾智能科技有限公司、北京奇虎科技有限公司、北

京快手科技有限公司、国网区块链科技（北京）有限公司、麒麟软件有限公司、

国家计算机网络应急技术处理协调中心北京分中心、上海三零卫士信息安全有限

公司、北京大学、云从科技集团股份有限公司、启明星辰信息技术集团股份有限

公司、瀚高基础软件股份有限公司、北京威努特技术有限公司、昆仑数智科技有

限责任公司、杭州默安科技有限公司、中国信息通信研究院、中电长城网际安全

技术研究院（北京）有限公司、北京安普诺信息技术有限公司、北京神州绿盟科

技有限公司、OPPO广东移动通信有限公司、浪潮电子信息产业股份有限公司、

阿里云计算有限公司、北京中测安华科技有限公司、中国科学院信息工程研究所、

上海文鳐信息科技有限公司、苏州棱镜七彩信息科技有限公司、腾讯云计算（北

京）有限责任公司、新华三技术有限公司、蚂蚁科技集团福根有限公司、工业和

信息化部电子第五研究所、北京人大金仓信息技术股份有限公司、上海大学、西

安邮电大学等单位共同参与了该标准的起草工作。

本标准主要起草人：李守鹏、王欣、王晓萌、王惠莅、林星辰、吴润浦、陈

冬青、薛勇波、曾晋、沈蕾、董国伟、叶润国、李汝鑫、高金萍、邓辉、常远、

杨慧婷、杨韬、冯明冉、杨剑、万振华、王振远、王晶、张亚京、梁伟、邱林海、

王颉、张大江、罗峋、张屹、李杺恬、落红卫、应凌云、沈锡镛、孟瑾、温婷婷、

王红亮、王春霞、王岩、李娜、王聪、李汪蔚、查文静、李腾、宋桂香、李红、

张刚、柴思跃、赵晓晖、申永波、白晓媛、董军平、陈亮、徐永太、高庆、查海

平、万晓兰、林飞、吴菊华、宁戈、彭晨、张勇等。

主要参编单位分工情况如表1所示。

表1任务分工

单位名称项目任务分工

牵头负责标准项目，总

体负责标准框架结构

和标准各章节内容的

中国信息安全测评中心

研究和编制，并负责整

理汇总各参编单位意

见，形成标准文稿。

中国科学院信息工程研究所、联想（北京）有限公

软件供应链模型研究

司、中国信息通信研究院、华为技术有限公司、深

及相关内容编写

圳开源互联网安全技术有限公司等

中国电子技术标准化研究院、深圳市腾讯计算机系

统有限公司、联想（北京）有限公司、工信部电子

五所、中国软件评测中心、华为技术有限公司、北

供方/需方软件供应链

京奇虎科技有限公司、网神信息技术（北京）股份

安全要求研究及相关

有限公司、深信服科技股份有限公司、北京大学、

内容编写

北京鸿腾智能科技有限公司、阿里云计算有限公司、

诺基亚通信系统技术（北京）有限公司、国家计算

机网络应急技术处理协调中心黑龙江分中心等

中国科学院信息工程研究所、杭州默安科技有限公软件供应链安全威胁

司等研究

国家计算机网络应急技术处理协调中心等软件构成图谱研究

中国网络安全审查技术与认证中心、国家信息技术

安全研究中心、苏州棱镜七彩信息科技有限公司、

美的集团股份有限公司、工信部电子五所、华为技标准试点应用

术有限公司、国家计算机网络应急技术处理协调中

心、北京安普诺信息技术有限公司

1.3主要工作过程

标准制定的主要工作过程如下：

（1）标准申报立项

2021年3月至2021年5月，编制团队对国内外软件供应链安全相关标准政

策现状、软件供应链安全现状及发展趋势等内容进行调研分析，并组织60余家

参编单位召开多次研讨会，起草并多次修改，形成了适用于供方、需方、第三方

机构的标准草案文件。按照信安标委2021年国家标准项目申报要求提交了国家

标准制定项目立项申请。

（2）草案阶段

2021年5月至8月，标准编制组在信安标委WG7会议周汇报标准立项汇报

并通过，并根据专家意见组织研讨，重点突出软件供应链中的“供应链”特征，

继续完善形成了包含3各环节7个过程的标准草案文件。根据《全国信息安全标

准化技术委员会关于2021年网络安全标准项目立项的通知》（信安字[2021]14

号）通知，本标准正式获批为2021年网络安全标准制定项目。

2021年8月至11月，完成公开征集标准参编单位，经过遴选60余家相关

企事业单位加入标准编制组。召开标准编制启动会、全体编制组研讨会、重点参

编单位研讨会，围绕标准适用范围不断完善，形成了适用于供需两方的标准草案

文件。

2021年11月至2022年1月，编制组参加全国信安标委第二次会议周，在

WG7工作组汇报并与与会专家进行研讨。编制组根据与会专家意见召开全体成

员研讨会、重点参编单位研讨会，根据标准周专家意见和参编单位意见，参考

ISO-27036、SSDF、SLSA等软件供应链安全实践，细化软件供应链环节、过程

安全要求。

2022年1月至2022年4月，参加WG7组召开的进度评审会，根据评审会

专家意见就软件供应链适用对象、供应链环节、过程及要求等级等内容与多家参

编单位进行研讨，梳理完善标准框架及条款，形成当前标准草案。

2022年5月至6月，参加标准推进专家意见会，专家建议转入征求意见阶

段；6月8日，完成WG7工作组投票，工作组形成转为征求意见稿的意见。

（3）征求意见稿阶段

6月17日，参加征求意见稿专家审查会。根据专家及成员单位意见聚焦标

准重点需要解决的问题，如“软件安全”与“软件供应链安全”的关系、安全要

求分级的合理性等，编制组根据专家意见修改完善标准文本。

7月13日，参加征求意见稿专家审查会。与会专家一致同意通过对该项标

准的审查。编制组根据专家建议，补充完善标准文本、术语、持续供应能力安全

要求等方面内容，从供应关系和供应活动角度提出安全要求。

9月22日，参加征求意见稿专家研讨会。根据专家意见进一步聚焦标准适

用范围和约束对象，围绕软件供应链安全风险管理，从需方视角对组织管理和供

应活动管理的安全要求，形成当前标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1标准编制原则

（1）普适性原则

本标准充分立足我国软件供应链特点，结合软件供应链全球性特征，对软件

供应链中的供方和需方提出不同等级安全要求。

（2）合规性原则

本标准遵从软件供应链安全有关法律法规的规定，标准条款内容符合我国法

律法规和相关政策要求。

（3）一致性原则

本标准与国内外相关技术标准协调一致，与我国软件供应链安全相关标准不

矛盾。

2.2确定主要内容的依据

本标准旨在通过实现软件组件可追溯、软件供应链管理活动和技术环节可审

计、主要软件及软件供应关系可替代等，防范软件供应链中的安全漏洞利用、人

为风险、以及经济、政策等导致的停服断供风险。本标准主要依据国内外软件供

应链安全现状及相关国内外相关标准，提出软件供应链安全要求，具体如下：

（1）软件供应链安全事件频发，扩大网络安全攻击面，为传统软件安全带

来新挑战。

软件供应链攻击事件频繁发生，在数量及攻击复杂度上都呈现上升趋势，为

攻击者提供了新的攻击思路，扩大了网络安全的攻击面，造成的危害更易扩散，

使传统软件安全问题更加显著。

（2）我国需构建软件供应链安全标准体系，从国家层面推动标准化工作，

防范软件供应链安全风险。

国内现有的ICT相关标准尚未针对软件供应链各个环节的安全事件、安全风

险形成具有针对性的防范措施和规范要求，鉴于我国软件供应链“安全左移”需

求迅速增长、软件供应链复杂性不断增加、软件供应链全球化发展等特征日益凸

显等现状，中国信息安全测评中心在信安标委指导下开展软件供应链安全要求标

准制定工作。

（3）国外软件供应链安全风险防范及处置机制相对完善，对我国具有较好

的借鉴意义。

国外通过机制建设、标准制定、产品认证等手段，形成了比较成熟的ICT供

应链和软件供应链风险管理制度体系，在监管其国内相关领域的同时也起到了引

领国际治理制度建设的作用，对我国标准体系建设具有较好借鉴意义。

（4）国内外主要相关标准文件。

GB/T36637－2018信息安全技术ICT供应链安全风险管理指南

GB/T38674－2020信息安全技术应用软件安全编程指南

GB/T33770.1－2017信息技术服务外包第1部分：服务提供方通用要求

ISO28001Securitymanagementsystemsforthesupplychain–Best

practicesforimplementingsupplychainsecurity,assessmentsandplans

–Requirementsandguidance

ISO/IEC27036－2Informationtechnology–Securitytechniques–

Informationsecurityforsupplierrelationships–Part2:Requirements

ISO/IEC27036－3Informationtechnology–Securitytechniques–

Informationsecurityforsupplierrelationships–Part3:Guidelinesfor

informationandcommunicationtechnologysupplychainsecurity

NIST800－161SupplyChainRiskManagementPracticesforFederal

InformationSystemsandOrganizations

2.3解决的主要问题

本文件解决的主要问题是识别和防范供应关系和供应活动中面临的安全风

险（见附录A），提升软件供应链安全保障能力，包括：

（1）提升软件产品或服务中断供应等风险管理能力：识别和防范供应关系

建立及供应活动中软件产品和服务供应中断的管理安全风险，提升软件供应链的

韧性，当软件供应链中断或部分失效时，能够保障业务持续稳定运行。

（2）提升供应活动引入的技术安全风险管理能力：识别和防范由于供应关

系或供应活动变化导致的软件漏洞、后门、篡改、伪造等技术安全风险，提升软

件供应链的可追溯性、安全性，一旦发现上述风险，可以快速有效追溯和修复。

（3）提升软件供应链数据安全风险管理能力：识别和防范供应关系和供应

活动中存在的数据泄露、数据篡改、非法访问等安全风险，提升软件供应链数据

安全保护能力，防止软件供应链的数据泄露给未授权者。

三、主要试验情况分析

试点工作确定5家供方单位、4家需方单位以及2家第三方机构，目前已完

成8个信息系统软件供应链安全要求的符合性和可操作性验证工作。标准试点工

作能有效识别软件供应链安全问题并提出对策建议，有助于提升试点对象软件供

应链安全能力。主要体现在以下方面：

1、规范软件供应链管理安全机制。通过试点发现试点对象供应链管理方面

机构制度、人员能力、知识产权和供应商管理方面的薄弱环节，指导试点单位构

建并完善软件供应链安全管理机制，有效提升软件供应链组织管理管理方面的风

险能力。

2、提升软件供应链技术安全保障能力。通过试点识别软件供应链资产不清

晰、软件供应链各供应活动风险识别和控制措施不完善等问题，根据软件采购、

软件交付、软件运维、软件废止等安全要求，从内部、外部2方面提升了软件供

应链源头、过程、末端中的漏洞、后门、恶意篡改、数据泄露等安全风险控制和

处置能力，提升试点对象软件供应活动引入安全风险的管理能力。

3、完善软件供应链安全需求，评估软件供应链安全能力。通过对符合性和

可操作性验证分析，指导需方根据业务场景需求确定不同的安全需求，并为供方

形成相应的安全能力提供参考；同时，通过试点对象与标准不同安全要求条款的

符合性分析可实现供需双方软件供应链安全能力评估，并引导驱动供需双方逐步

提升软件供应链安全保障能力。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

本标准的制定，将填补我国在软件供应链安全方面国家标准领域的空白，完

善我信息技术领域的标准规范体系。本标准通过对软件供应链所涉及的供应关系

和供应活动提出相关安全要求，能够从标准层指导软件供应链中供方、需方开展

软件供应链管理活动，也可为第三方机构开展软件供应链安全测试和评估提供依

据，以及为监管方提供参考，同时为软件安全提供基础保障，对提高软件供应链

安全性、提高我国整体网络安全保障水平具有重大意义。

六、采用国际标准和国外先进标准情况

本标准为自主制定，目前并未有专门针对软件供应链安全要求的标准。

七、与现行相关法律、法规、规章及相关标准的协调性

目前我国现有与软件供应链安全相关法律有《中华人民共和国国家安全法》

《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础

设施安全保护条例》《网络安全审查办法》。

2020年《信息技术产品供应链安全要求》已发布征求意见稿，规定了信息

技术产品供应方和需求方应满足的供应链基本安全要求。2020年，由电信终端

产业协会发布了《网络产品供应链安全要求》行业标准，该标准对网络产品在管

理制度、组织机构和人员、信息系统等以及供应链环节提出了不同等级的安全要

求。

2018年，我国出台了供应链安全管理国家标准《信息安全技术ICT供应链

安全风险管理指南》，该标准采用风险评估的思路，从产品全生命周期的角度开

展风险分析及管理，以实现供应链的完整性、保密性、可用性和可控性安全目标。

本标准与现行法律、法规以及国家标准不存在冲突与矛盾。

八、主要意见处理经过和依据

无

九、标准性质的建议

建议本标准为推荐性国家标准。

十、贯彻标准的要求和措施建议

在正式执行本标准前，需要对标准中的条款进行宣贯，以在利益相关方之间

达成对标准条款理解上的一致性。

十一、替代或废止现行相关标准的建议

无。

十二、其它应予说明的事项

无。

国家标准《信息安全技术软件供应链全要求》编制工作组

2022年9月28日

一、工作简况

1.1任务来源

根据国家标准化管理委员会2022年下达的国家标准制修订计划：《信息安全

技术软件供应链安全要求》，国标计划号：20220164-T-469，标准由中国信息

安全测评中心负责起草，由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员

中国信息安全测评中心负责起草，中国电子技术标准化研究院、国家计算机

网络应急技术处理协调中心、华为技术有限公司、中国软件评测中心、诺基亚通

信系统技术（北京）有限公司、网神信息技术（北京）股份有限公司、深信服科

技股份有限公司、联想（北京）有限公司、北京天融信网络安全技术有限公司、

国网新疆电力有限公司电力科学研究院、国家信息技术安全研究中心、长扬科技

（北京）有限公司、深圳开源互联网安全技术有限公司、中国网络安全审查技术

与认证中心、国家计算机网络应急技术处理协调中心黑龙江分中心、杭州安恒信

息技术股份有限公司、北京鸿腾智能科技有限公司、北京奇虎科技有限公司、北

京快手科技有限公司、国网区块链科技（北京）有限公司、麒麟软件有限公司、

国家计算机网络应急技术处理协调中心北京分中心、上海三零卫士信息安全有限

公司、北京大学、云从科技集团股份有限公司、启明星辰信息技术集团股份有限

公司、瀚高基础软件股份有限公司、北京威努特技术有限公司、昆仑数智科技有

限责任公司、杭州默安科技有限公司、中国信息通信研究院、中电长城网际安全

技术研究院（北京）有限公司、北京安普诺信息技术有限公司、北京神州绿盟科

技有限公司、OPPO广东移动通信有限公司、浪潮电子信息产业股份有限公司、

阿里云计算有限公司、北京中测安华科技有限公司、中国科学院信息工程研究所、

上海文鳐信息科技有限公司、苏州棱镜七彩信息科技有限公司、腾讯云计算（北

京）有限责任公司、新华三技术有限公司、蚂蚁科技集团福根有限公司、工业和

信息化部电子第五研究所、北京人大金仓信息技术股份有限公司、上海大学、西

安邮电大学等单位共同参与了该标准的起草工作。

本标准主要起草人：李守鹏、王欣、王晓萌、王惠莅、林星辰、吴润浦、陈

冬青、薛勇波、曾晋、沈蕾、董国伟、叶润国、李汝鑫、高金萍、邓辉、常远、

杨慧婷、杨韬、冯明冉、杨剑、万振华、王振远、王晶、张亚京、梁伟、邱林海、

王颉、张大江、罗峋、张屹、李杺恬、落红卫、应凌云、沈锡镛、孟瑾、温婷婷、

王红亮、王春霞、王岩、李娜、王聪、李汪蔚、查文静、李腾、宋桂香、李红、

张刚、柴思跃、赵晓晖、申永波、白晓媛、董军平、陈亮、徐永太、高庆、查海

平、万晓兰、林飞、吴菊华、宁戈、彭晨、张勇等。

主要参编单位分工情况如表1所示。

表1任务分工

单位名称项目任务分工

牵头负责标准项目，总

体负责标准框架结构

和标准各章节内容的

中国信息安全测评中心

研究和编制，并负责整

理汇总各参编单位意

见，形成标准文稿。

中国科学院信息工程研究所、联想（北京）有限公

软件供应链模型研究

司、中国信息通信研究院、华为技术有限公司、深

及相关内容编写

圳开源互联网安全技术有限公司等

中国电子技术标准化研究院、深圳市腾讯计算机系

统有限公司、联想（北京）有限公司、工信部电子

五所、中国软件评测中心、华为技术有限公司、北

供方/需方软件供应链

京奇虎科技有限公司、网神信息技术（北京）股份

安全要求研究及相关

有限公司、深信服科技股份有限公司、北京大学、

内容编写

北京鸿腾智能科技有限公司、阿里云计算有限公司、

诺基亚通信系统技术（北京）有限公司、国家计算

机网络应急技术处理协调中心黑龙江分中心等

中国科学院信息工程研究所、杭州默安科技有限公软件供应链安全威胁

司等研究

国家计算机网络应急技术处理协调中心等软件构成图谱研究

中国网络安全审查技术与认证中心、国家信息技术

安全研究中心、苏州棱镜七彩信息科技有限公司、

美的集团股份有限公司、工信部电子五所、华为技标准试点应用

术有限公司、国家计算机网络应急技术处理协调中

心、北京安普诺信息技术有限公司

1.3主要工作过程

标准制定的主要工作过程如下：

（1）标准申报立项

2021年3月至2021年5月，编制团队对国内外软件供应链安全相关标准政

策现状、软件供应链安全现状及发展趋势等内容进行调研分析，并组织60余家

参编单位召开多次研讨会，起草并多次修改，形成了适用于供方、需方、第三方

机构的标准草案文件。按照信安标委2021年国家标准项目申报要求提交了国家

标准制定项目立项申请。

（2）草案阶段

2021年5月至8月，标准编制组在信安标委WG7会议周汇报标准立项汇报

并通过，并根据专家意见组织研讨，重点突出软件供应链中的“供应链”特征，

继续完善形成了包含3各环节7个过程的标准草案文件。根据《全国信息安全标

准化技术委员会关于2021年网络安全标准项目立项的通知》（信安字[2021]14

号）通知，本标准正式获批为2021年网络安全标准制定项目。

2021年8月至11月，完成公开征集标准参编单位，经过遴选60余家相关

企事业单位加入标准编制组。召开标准编制启动会、全体编制组研讨会、重点参

编单位研讨会，围绕标准适用范围不断完善，形成了适用于供需两方的标准草案

文件。

2021年11月至2022年1月，编制组参加全国信安标委第二次会议周，在

WG7工作组汇报并与与会专家进行研讨。编制组根据与会专家意见召开全体成

员研讨会、重点参编单位研讨会，根据标准周专家意见和参编单位意见，参考

ISO-27036、SSDF、SLSA等软件供应链安全实践，细化软件供应链环节、过程

安全要求。

2022年1月至2022年4月，参加WG7组召开的进度评审会，根据评审会

专家意见就软件供应链适用对象、供应链环节、过程及要求等级等内容与多家参

编单位进行研讨，梳理完善标准框架及条款，形成当前标准草案。

2022年5月至6月，参加标准推进专家意见会，专家建议转入征求意见阶

段；6月8日，完成WG7工作组投票，工作组形成转为征求意见稿的意见。

（3）征求意见稿阶段

6月17日，参加征求意见稿专家审查会。根据专家及成员单位意见聚焦标

准重点需要解决的问题，如“软件安全”与“软件供应链安全”的关系、安全要

求分级的合理性等，编制组根据专家意见修改完善标准文本。

7月13日，参加征求意见稿专家审查会。与会专家一致同意通过对该项标

准的审查。编制组根据专家建议，补充完善标准文本、术语、持续供应能力安全

要求等方面内容，从供应关系和供应活动角度提出安全要求。

9月22日，参加征求意见稿专家研讨会。根据专家意见进一步聚焦标准适

用范围和约束对象，围绕软件供应链安全风险管理，从需方视角对组织管理和供

应活动管理的安全要求，形成当前标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1标准编制原则

（1）普适性原则

本标准充分立足我国软件供