国家标准信息安全技术ICT供应链安全风险管理指引草案编制

国家标准信息安全技术 ICT供应链安全风险管理指南（草案）编制说明一、 工作简况1.1 任务来源本项目为2012年的标准编制项目，名为“信息安全技术 ICT供应链安全风险管理指南”（以下简称供应链指南），计划号为-T-469。该标准规定了ICT供应链安全风险管理的过程和控制措施。本项目由中国电子技术标准化研究院负责具体实施，参与起草单位包括中国科学院软件研究所、华为技术有限公司、联想（北京）有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴（北京）软件服务有限公司、北京京东叁佰陆拾度电子商务有限公司、中国信息通信研究院、浪潮电子信息产业股份有限公司、微软（中国）有限公司、国家信息技术安全研究中心、英特尔（中国）有限公司、阿里云计算有限公司、中国信息安全认证中心、清华同方计算机有限公司、中国科学院信息工程研究所信息安全国家重点实验室。1.2 主要工作过程1. 2012年3月，成立标准编制组考虑到信息通信技术产品和服务的产业现状，标准编制组广泛吸收了国内的研究机构、第三方测评机构、信息通信技术企业参与到标准研制工作，同时按照相关程序，接受了部分国外企业作为观察成员，参与标准研制过程。2. 2012年4月至2013年6月，调研国内外供应链安全标准现状研究现有国内外供应链安全相关标准，分析各自特点，学习借鉴，主要包括：1） 供应链风险管理指南（GB/T 24420）2） 信息技术 安全技术 信息安全风险管理（GB/T 31722，即ISO/IEC 27005）3） 信息安全技术 信息安全风险管理指南（GB/Z 24364）4） 信息安全技术 信息安全风险评估规范（GB/T 20984）5） 信息安全技术 信息安全风险评估实施指南（GB/T 31509）6） 信息技术 安全技术 信息安全管理实用规则（GB/T 22081，即ISO/IEC 27002）7） 信息安全技术 云计算服务安全能力要求（GB/T 31168）8） 信息安全技术 信息系统安全等级保护基本要求（GB/T 22239）9） 信息安全技术 政府部门信息安全管理基本要求（GB/T 29245）10） 信息安全技术 信息技术产品供应方行为安全准则（GB/T 32921）11） Information technology - Security techniques - Code of practice for Information security controls(ISO/IEC 27002)12） Information technology - Security techniques - Information security for supplier relationships（ISO/IEC 27036）13） Systems and software engineering - Systems and software assurance（ISO/IEC 15026）14） Information Technology - Open Trusted Technology ProviderTM Standard(O-TTPS) - Mitigating maliciously tainted and counterfeit products（ISO/IEC 22043）15） Supply Chain Risk Management Practices for Federal Information Systems and Organizations（NIST SP 800-161）16） Security and Privacy Controls for Federal Information Systems and Organizations（NIST SP 800-53）3. 2013年7-9月，调研国内信息通信技术产品和服务供应链安全需求与产业现状2013年7-9月，与国内外信息通信技术产品和服务厂商、第三方测评机构等代表进行研讨，并到个别厂商和政府机构实地调研情况，了解信息通信技术产品和服务供应链的管理现状与安全需求。4. 2013年10月，召开标准启动会，确定标准范围和框架2013年10月编制组召开标准启动会，与参与单位共同讨论，明确了标准的适用范围和草案框架。5. 2013年11月至2014年12月，初步形成标准草案，编制组内开会讨论根据标准草案框架，编制标准草案初稿v0.1，并于2014年12月召开标准内部研讨会，与编制组成员进行研讨，会上对于ICT供应链安全管理指南的适用对象（主要面向政府机关和大型国有企业）达成了共识。但是对于ICT供应链安全管理指南的具体框架内容还存在部分争议，需要未来进一步协商明确。6. 2016年1月-12月，ICT供应链信任研究课题，为标准工作提供了基础。2016年1月至12月，中国电子技术标准化研究院与微软公司联合开展了“ICT供应链信任”课题研究，并于2016年2月27日、6月7日召开了两次中美专家之间的ICT供应链安全信任研讨会，目前课题已经形成研究报告，课题成果为供应链标准编制工作奠定了基础。7. 2016年10月，成都标准会议周汇报标准编制工作，并进行研讨2016年10月在成都召开的标准会议周上汇报标准编制工作，分析了原有标准草案的不足，并提出了新的标准框架。会上对标准范围、标准应用等方面进行了讨论，对于标准范围、框架等内容还需成立新的编制组，进一步讨论明确。8. 2016年11月-2017年3月，成立新的标准编制组，开展标准编制工作成立新的标准编制组，并组织成员单位讨论标准范围、框架、争议问题，定好标准框架后，定期召开标准编制组会议对标准草案进行迭代更新，已召开6次标准编制组会议，形成标准草案v1.3版本。l 2016年11月24日，成立新的标准编制组，讨论确定标准编制思路和框架。l 2017年1月12日，参研单位提交贡献，讨论标准草案v0.2。l 2017年2月27日，标准编制组研讨，讨论标准草案v0.5。l 2017年3月9日，标准编制组研讨，讨论标准草案v0.9。l 2017年3月23日，标准编制组研讨，讨论标准草案v1.1。l 2017年3月29日，与NIST SP 800-161的第一作者Jon Boyens进行电话会议，交流供应链安全标准。二、 编制原则和主要内容2.1 编制原则本标准在GB/T 31722信息技术 安全技术 信息安全风险管理的指导下，旨在针对ICT供应链的特点，细化ICT供应链安全风险管理的过程和控制措施，为ICT产品服务的需方或供方提供管理ICT供应链安全风险的实施指南。本标准的研究与编制工作遵循以下原则：一是以国内外供应链安全相关标准为基础。供应链指南是针对ICT供应链安全风险管理指南，以国内供应链安全相关标准要求为基础，充分借鉴国际先进的ICT供应链安全风险管理方法。其中，风险管理过程以国内的供应链管理、信息安全风险管理类标准为基础，如ISO/IEC 27005（GB/T 31722）、GB/T 24420等；安全控制措施以国内外供应链相关安全措施为基础，如GB/T 22239、GB/T 31168、ISO/IEC 27002、ISO/IEC 27036、NIST SP800-161、NIST SP800-53。二是支持多样的ICT产品和服务供应链。由于ICT产品和服务类型多样，软件、硬件、系统、服务的供应链细节可能存在不同，因此本标准在编制中尽量考虑到多种类型产品和服务，从软件、硬件、服务、数据、客户几个角度梳理供应链的安全风险，安全风险管理过程尽量采用通用、得到认可的过程步骤，供应链安全控制措施则提供了一个控制措施集合，ICT采购方或供应商可根据应用环境和安全需求进行剪裁。三是考虑可操作性和实用性。为了确保标准的可操作性和实用性，标准编制组广泛吸收了在国内信息通信技术产品和服务市场的主流软件、硬件、服务厂商作为标准编制组成员。具体编制时采用两种思路：一是ICT供应链安全风险管理过程，基于GB/T 31722的信息安全风险管理框架，参考GB/T 24420供应链风险管理指南和NIST SP 800-161联邦信息系统和组织供应链风险管理方法进行编制，列举了ICT供应链的主要安全威胁和脆弱性，细化了ICT供应链安全风险管理的步骤和实施细则；二是ICT供应链安全风险控制措施，参考GB/T 22081信息技术 安全技术 信息安全管理实用规则、NIST SP 800-161、ISO/IEC 22043信息技术 开放可信供应商标准 减少被恶意污染和伪冒的产品及现有国家标准中供应链相关安全要求进行编制，给出了ICT供应链安全风险控制措施集合，供ICT采购方或供应方根据自身存在安全风险和组织特点筛选使用。2.2 主要内容供应链指南给出了对信息通信技术产品和服务的供应链进行安全风险管理的通用指南，包括信息通信技术供应链的安全风险、风险管理过程和安全控制措施。l ICT供应链的安全目标，包括完整性、保密性、可用性和可控性。l ICT供应链的安全风险，从供应链的威胁和脆弱性两方面描述。l ICT供应链的安全风险管理过程，包括范畴确定、风险评估、风险应对、风险监督和检查四个步骤。l ICT供应链的安全控制措施l 附录1 ICT供应链的结构和特点l 附录2 ICT供应链的范围和供应商类型三、 主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果前期，中国电子技术标准化研究院与微软公司联合开展了“加强ICT供应链信任”课题研究，该课题分析了ICT供应链信任相关的国内外法律政策、标准规范、学术研究现状，并对华为、微软、波音、富士通、FireEye几家公司的供应链管理实践进行了调研，还与美国马里兰大学供应链管理中心Sandy Boyson教授进行了交流合作。在标准编制过程中，编制组广泛吸收了国内外软件、硬件、服务的典型企业，各家企业在ICT供应链的安全风险、供应链安全措施等方面贡献了大量的企业实践内容，为该标准的应用打下了良好的基础。此外，编制组还与美国NIST SP800-161联邦信息系统和组织供应链风险管理方法的作者Jon Boyens进行了电话会议，对161标准进行了深入的研讨，为供应链指南的编制提供了很多思路。四、 采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况信息安全标准已经成为网络空间国际竞争的战略制高点。特别是，办公设备安全标准及其背后的管理政策将会对办公设备产业造成重大影响，也将限制国外办公设备供应商渗透到我国敏感部门和重要行业，这必然会引起国外企业的强烈反应。为此，编制组专门分析、参考、吸收了国外办公设备信息安全相关标准。五、 与有关的现行法律、法规和强制性国家标准的关系供应链指南符合现有法律法规。供应链指南与GB/T 24420-2009供应链风险管