《软件供应链安全保护能力测评规范（征求意见稿）》编制说明

从世界范围看，软件供应链安全威胁和风险日益突出，并日益向政治、经济、社会、国防等领域传导渗透。（1）xz-utils、log4j等软件供应链安全事件频发，安全漏洞、许可协议违规使用、停服断供等软件供应链安全风险，给社会安全、科技安全、信息技术安全带来严重危害，严重危害软件供应链安全；（2）我国政府、企事业单位等各类组织高度关注软件供应链安全，网络安全法、反间谍法、关基保护条例等法律法规以及软件供应链安全要求国家标准中均对软件供应链相关实体要素提出安全要求；（3）在国家、地方、行业或团体标准等层面尚未提出针对软件供应链安全保护能力测评的统一技术规范或要求。本文件能够为软件供应链安全保护能力测评提供依据，对提升软件供应链安全风险防范能力，进一步推动软件供应链安全有关国家标准、政策法规落地实施具有较好支撑作用。二、任务来源近年来，软件供应链安全事件频发，严重危害网络安全。停服断供、安全漏洞以及外部代码组件违规使用等软件供应链安全风险导致传统软件安全面临新的挑战，有的已经阻碍正常工作生活的持续稳定运行，甚至危害国家安全。《中华信息基础设施安全保护条例》《网络安全审查办法》等法律法规中对软件产品，及其供应和使用单位提出了要求。在国家标准层面《网络安全技术软件供应链安全要求》正式发布，然而在安全测评方面并未形成统一的标准规范。经中国网络空间安全协会专家审议通过，2024年6月17日下达《软件供应链安全检测规范》团体标准计划项目。三、编制过程了多次标准工作组内部讨论，并针对标准大体框架与内容方向进行了修改与调整，形成第一版标准草案。意标准立项。标准名称和内容。四、主要内容技术指标确立本文件依据GB/T43698-2024《网络安全技术软件供应链安全要求》中对供需双方的安全要求确定测评指标、测评对象和测评实施等主要内容。本文件确定了供需双方组织管理和供应活动管理安全要求的测评指标、测评对象和测评实施过程和安全保护能力等级评定方法。本文件适用于指导软件供应链中的供需双方开展软件供应链安全保护能力测评、可为第三方机构提供测评依据，也可为主管监管部门提供参考。本标准牵头单位为中国信息安全测评中心，参编单位有工业和信息化部第五研究所、京东科技信息技术有限公司、统信软件技术有限公司、麒麟软件有限公司、深圳市金蝶天燕云计算股份有限公司、苏州棱镜七彩信息科技有限公司等。五、与相关法律法规和国家标准的关系本标准的总体结构和编写方法按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》的规定执行。本标准参考的相关法律、法规和GB/T43698-2024《网络安全技术软件供应链安全要求》GB/T5271.1-2000《信息技术词汇第1部分：基本术GB/T7027-2002《信息分类和编码的基本原则与方法》GB/T4754-2017《国民经济行业分类》GB/T10113-2003《分类与编码通用术语》GB/T25069-2010《信息安全技术术语》ISO/IEC19770-2:2015《Informationtechnology—ITassetmanagementPart2:Softwareidentificationtag》NIST.IR.8060《GuidelinesfortheCreationofInteroperableSoftwareIdentification(