ICS35.030CCSL80团 体 标 准T/CIIPA00009—2024关键信息基础设施供应链安全要求Securitycapabilityrequirementsforthesupplychainofcriticalinformationinfrastructure 2025-03-07发布2025-03-09实施中关村华安关键信息基础设施安全保护联盟发布中国标准出版社出版 全国团体标准信息平台 目 次前言Ⅲ…………………………………………………………………………………………………………引言Ⅳ…………………………………………………………………………………………………………1 范围1………………………………………………………………………………………………………2 规范性引用文件1…………………………………………………………………………………………3 术语和定义1………………………………………………………………………………………………4 CII供应链安全总体要求2……………………………………………………………………………… 4.1 供应链安全风险分析2……………………………………………………………………………… 4.2 供应链安全管控措施2……………………………………………………………………………… 4.3 供应链安全准入策略2……………………………………………………………………………… 4.4 外部组件供应链安全要求2…………………………………………………………………………5 CII供应链安全风险识别3……………………………………………………………………………… 5.1 供应方风险3………………………………………………………………………………………… 5.2 人员风险3…………………………………………………………………………………………… 5.3 产品风险3…………………………………………………………………………………………… 5.4 服务风险5……………………………………………………………………………………………6 CII供应链安全管控要求6……………………………………………………………………………… 6.1 审查管理要求6……………………………………………………………………………………… 6.2 安全管理要求6……………………………………………………………………………………… 6.3 技术管控要求7……………………………………………………………………………………… 6.4 人员管理要求7………………………………………………………………………………………7 CII供应链安全准入要求8……………………………………………………………………………… 7.1 供应方准入要求8…………………………………………………………………………………… 7.2 人员准入要求8……………………………………………………………………………………… 7.3 产品准入要求9……………………………………………………………………………………… 7.4 服务准入要求9………………………………………………………………………………………8 CII外部组件供应链安全管理10………………………………………………………………………… 8.1 开源组件安全管理10………………………………………………………………………………… 8.2 第三方组件安全管理10……………………………………………………………………………… 8.3 集成和分发的安全管理10…………………………………………………………………………… 8.4 可追溯性管理11………………………………………………………………………………………参考文献12……………………………………………………………………………………………………ⅠT/CIIPA00009—2024 全国团体标准信息平台 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村华安关键信息基础设施安全保护联盟提出。本文件由中关村华安关键信息基础设施安全保护联盟网络安全标准专业委员会技术归口。本文件起草单位:中关村华安关键信息基础设施安全保护联盟、中国工商银行股份有限公司、国网思极网安科技(北京)有限公司、中国电子科技集团公司第十五研究所信息产业信息安全测评中心、中国移动通信集团有限公司、中广核数字科技有限公司、中国人民财产保险股份有限公司、中国电力科学研究院有限公司、国家工业信息安全发展研究中心、中国电信集团有限公司、教育部教育管理信息中心、中国民生银行股份有限公司、北京北信源软件股份有限公司、中国信息安全测评中心、国家广播电视总局监管中心、工信部教育考试中心、中邮信息科技(北京)有限公司、大唐科技研究总院、水利部信息中心、深圳市网安计算机安全检测技术有限公司、四川北斗弘鹏科技有限公司、北京安普诺信息技术有限公司、中科信息安全共性技术国家工程研究中心有限公司、银行卡检测中心(北京银联金卡科技有限公司)、杭州默安科技有限公司、杭州中尔网络科技有限公司、北京比瓴科技有限公司、深圳开源互联网安全技术有限公司、湖南浩基信息技术有限公司、南京众智维信息科技有限公司、成都久信信息技术股份有限公司。本文件主要起草人:苏建明、郭启全、焦彬、逯瑶、马强、李红霞、郭智武、林皓、杨华、张松、徐建、任磊、严宗、肖红阳、马雅静、曹禹、刘阳、刘冬、胡建勋、伊鹏达、刘云、张然、吴子坚、陈军、陈大北、马禹昇、郑国忠、王雪珊、李淼、白云波、张普含、李天磊、詹丹丹、裴帅、刘健、冯莉、李炎、谭志彬、苏勇、张仕文、曹欣然、盛湘新、沈智镔、陈真玄、邱德隆、王来蒙、王文军、张涛、宁戈、李云、任航、付杰、聂万泉、孟瑾、沈锡镛、邹远辉、曾帅、刘遥、谭宇辰、冯寅轩、菅志刚、车洵。 ⅢT/CIIPA00009—2024 全国团体标准信息平台 引 言 目前,关键信息基础设施已成为国家安全、经济稳定运行和社会公共服务的重要基石,其供应链安全性问题日益凸显,直接关系到核心数据和整个系统安全。近年来,供应链已成为黑客攻击的关键环节,任何供应链环节的疏漏都可能对整体安全构成严重威胁。网络攻击者常利用对目标漏洞的深入了解,辅以先进的技术和工具,对供应链发起攻击,特别是对开源软件漏洞的利用,已成为攻击者渗透网络系统的重要途径。随着开源软件的广泛应用,软件供应链攻击的成本和难度大幅降低,而攻击范围却在不断扩大,检测难度日益增加,攻击事件的数量也呈持续上升趋势。鉴于此,关键信息基础设施供应链安全的重要性不言而喻,它不仅关乎个体的数据安全,更涉及国家安全、经济安全和社会公共服务的稳定运行。为了全面提升关键信息基础设施供应链安全能力,有效防范和控制供应链引发的重大网络安全威胁,亟需制定一套科学、系统、实用的供应链安全能力规范。本文件的制定旨在规范关键信息基础设施的供应链安全管理,为关键信息基础设施运营者及网络安全服务机构等提供明确的指导和要求。通过健全完善供应链安全管理制度,落实供应链安全管控措施,加强防范供应链风险能力,构建一个更加安全、可靠、高效的关键信息基础设施供应链体系,为国家网络安全保驾护航。 ⅣT/CIIPA00009—2024 全国团体标准信息平台