文档介绍：国家标准《信息安全技术 ICT供应链安全风险管理指南》
(草案)编制说明
工作简况
任务来源
本项目为2012年的标准编制项目,名为“信息安全技术 ICT供应链安全风险管理指南”(以下简称《供应链指南》),计划号为20120528-T-469。该标准规定了ICT供应链安全风险管理的过程和控制措施。
本项目由中国电子技术标准化研究院负责具体实施,参与起草单位包括中国科学院软件研究所、***有限公司、联想(北京)有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴(北京)软件服务有限公司、北京京东叁佰陆拾度电子商务有限公司、中国信息通信研究院、浪潮电子信息产业股份有限公司、微软(中国)有限公司、国家信息技术安全研究中心、英特尔(中国)有限公司、阿里云计算有限公司、中国信息安全认证中心、清华同方计算机有限公司、中国科学院信息工程研究所信息安全国家重点实验室。
主要工作过程
1. 2012年3月,成立标准编制组
考虑到信息通信技术产品和服务的产业现状,标准编制组广泛吸收了国内的研究机构、第三方测评机构、信息通信技术企业参与到标准研制工作,同时按照相关程序,接受了部分国外企业作为观察成员,参与标准研制过程。
2. 2012年4月至2013年6月,调研国内外供应链安全标准现状
研究现有国内外供应链安全相关标准,分析各自特点,学****借鉴,主要包括:
《供应链风险管理指南》(GB/T 24420)
《信息技术安全技术信息安全风险管理》(GB/T 31722,即ISO/IEC 27005)
《信息安全技术信息安全风险管理指南》(GB/Z 24364)
《信息安全技术信息安全风险评估规范》(GB/T 20984)
《信息安全技术信息安全风险评估实施指南》(GB/T 31509)
《信息技术安全技术信息安全管理实用规则》(GB/T 22081,即ISO/IEC 27002
)
《信息安全技术云计算服务安全能力要求》(GB/T 31168)
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239)
《信息安全技术政府部门信息安全管理基本要求》(GB/T 29245)
《信息安全技术信息技术产品供应方行为安全准则》(GB/T 32921)
《Information technology - Security techniques - Code of practice for Information security controls》(ISO/IEC 27002)
《Information technology - Security techniques - Information security for supplier relationships》(ISO/IEC 27036)
《Systems and software engineering - Systems and software assurance》(ISO/IEC 15026)
《Information Technology - Open Trusted Technology ProviderTM Standard(O-TTPS) - Mitigating maliciously tainted and counterfeit product