ICS35.240.01 CCSL78 团 体 标 准 T/CSAC020-2025T/CSAC 信息与通信技术和服务供应商 安全要求 Securityrequirementsforinformationandcommunicationtechnologyandservice suppliers 2025-07-08发布 2025-08-08实施 中国网络空间安全协会  发布 ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á 全国团体标准信息平台 T/CSAC020-2025 I目  次 前言..............................................................................II 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4概述.................................................................................2 4.1评价原则.........................................................................2 4.2评价内容.........................................................................3 4.3评价流程.........................................................................4 4.4评价方法.........................................................................5 5供应商安全能力要求...................................................................5 5.1通用安全能力要求.................................................................5 5.2系统开发扩展能力要求.............................................................6 5.3产品供应扩展能力要求.............................................................7 5.4运维服务扩展能力要求.............................................................8 5.5集成建设扩展能力要求.............................................................9 5.6云服务扩展能力要求...............................................................9 5.7数据服务扩展能力要求............................................................10 6供应商安全能力评价..................................................................11 6.1供应商通用能力评价..............................................................11 6.2系统开发扩展能力评价............................................................19 6.3产品供应扩展能力评价............................................................25 6.4运维服务扩展能力评价............................................................28 6.5集成建设扩展能力评价............................................................31 6.6云服务扩展能力评价..............................................................34 6.7数据服务扩展能力评价............................................................37 7供应商安全能力评价结果..............................................................40 7.1评价判定原则....................................................................40 7.2评价计算方式....................................................................40 7.3评价结果........................................................................41 参考文献..............................................................................42 ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á 全国团体标准信息平台 T/CSAC020-2025 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国网络空间安全协会提出并归口。 本文件起草单位：公安部第三研究所、上海东航数字科技有限公司、上海德昶安测技术服务有限公 司、上海证券交易所、国泰君安证券股份有限公司、中国工商银行数据中心、中国太平洋保险（集团） 股份有限公司、核电运行研究（上海）有限公司、国网江苏省电力有限公司电力科学研究院、上海计算 机软件技术开发中心、中国电信股份有限公司江苏分公司、联通（山西）产业互联网有限公司、中电智 安科技有限公司、南方电网数字电网集团信息通信科技有限公司、中移（杭州）信息技术有限公司、四 川中锐信息技术有限公司、中国交通信息科技集团有限公司、天翼安全科技有限公司、物产中大数字安 全科技（浙江）有限公司、中国移动通信集团河北有限公司、大庆中基石油通信建设有限公司、山东省 网安数字科技有限公司、广西广电大数据科技有限公司、贵州省华测检测技术有限公司、墨菲未来科技 （北京）有限公司、南京众安信息科技有限公司、上海齐同信息科技有限公司、北京安普诺信息技术有 限公司、浙江路为科技有限公司、杭州安恒信息技术股份有限公司、上海斗象信息科技有限公司。 本文件主要起草人：唐晓婷、李蓓、张宇、陈晓霖、东明、曾峥、杨木超、魏东、樊芳、徐良、李 佶、李进明、翁伟刚、成辰、饶杰杰、朱宏亮、李俊斌、高峰1、游江东、顾智敏、郭静、刘振宇、毛 争艳、徐倩华、陈亚男、鲍亮、盛小宝、俞少华、黄菊、魏丽萍、刘卓、张鹤、蔡倩楠、许敏、魏渊、 殷正伟、秦玉龙、刘艺、高磊、柏姗姗、高峰2、陈平、陈艺坤、王君岚、刘懿、胡健、朱凌军、姜博 文、田毅、王庆伟、常小涛、龙军、刘波、甘泉、卢新、章华鹏、苗叶、曹育生、张涛、黄廷嵩、周亚 超、徐钟豪。 1高峰中国太平洋保险（集团）股份有限公司 2高峰四川中锐信息技术有限公司 ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á 全国团体标准信息平台 T/CSAC020-2025 1信息与通信技术和服务供应商安全能力要求 1范围 本文件规定了信息与通信技术和服务供应商中六类供应商（系统开发、产品供应、运维服务、集成 建设、云服务、数据服务）在管理制度、组织机构和人员、供应活动各环节中的安全能力。 本文件适用于信息与通信技术和服务供应商中六类供应商（系统开发、产品供应、运维服务、集成 建设、云服务、数据服务）规范自身的安全能力建设，适用于网络运营者选择供应商或对其进行安全性 评价时提供参考，适用于规范供应商供应链安全防护能力，也适用于其他类型的信息与通信技术和服务 供应商在开展供应商安全能力建设时参考使用。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T22239-2019信息安全技术网络安全等级保护基本要求 GB/T25069-2022信息安全技术术语 GB/T31167-2023信息安全技术云计算服务安全指