RB-T 221-2023 信息技术产品供应链安全评价规范

ICS03.120.20 CCSA00 中华人民共和国认证认可行业标准 RB/T221—2023 信息技术产品供应链安全评价规范 Evaluationspecificationsforsecurityofinformationtechnologyproductsupplychain 2024-05-20发布 2024-07-01实施国家认证认可监督管理委员会发布中国标准出版社出版目次前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 评价内容 2 ………………………………………………………………………………………………… 5 评价方法 3 ………………………………………………………………………………………………… 6 评价结果 7 ………………………………………………………………………………………………… 参考文献 8 ……………………………………………………………………………………………………… ⅠRB/T221—2023 仅供国家认证认可监督管理委员会内部使用前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由国家认证认可监督管理委员会提出并归口。本文件起草单位:中国网络安全审查认证和市场监管大数据中心、上海市信息安全测评认证中心、中国电子科技集团第十五研究所(信息产业信息安全测评中心)、北京天融信网络安全技术有限公司、北京中电华大电子设计有限责任公司、美的集团股份有限公司。本文件主要起草人:申永波、王峰、徐佟海、董晶晶、安高峰、张俊彦、朱在鹏、杨坤、张玉朋、薛路刚、于毅、刘思蓉、兰丹妮。 ⅢRB/T221—2023 仅供国家认证认可监督管理委员会内部使用引言目前,世界各国和信息技术行业已普遍认识到,信息技术产品供应链存在安全风险,因此加强信息技术产品的供应链安全管理,增强客户对供应链的信任,变得至关重要。信息技术产品供应链安全是体现信息技术产品安全保障能力的一个重要方面,但信息技术产品安全认证实施过程中,对信息技术产品供应链的安全评价尚不完善,缺少统一的安全评价标准指导实际工作,因此研究制定信息技术产品供应链安全评价规范迫在眉睫。 ⅣRB/T221—2023 仅供国家认证认可监督管理委员会内部使用信息技术产品供应链安全评价规范 1 范围本文件规定了信息技术产品供应方供应链安全的评价内容、评价方法和评价结果。本文件适用于认证机构在信息技术产品安全认证过程中对产品供应方供应链的安全评价。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069—2022 信息安全技术术语 GB/T32921—2016 信息安全技术信息技术产品供应方行为安全准则 GB/T36637—2018 信息安全技术 ICT供应链安全风险管理指南 3 术语和定义 GB/T25069—2022、GB/T32921—2016和GB/T36637—2018界定的以及下列术语和定义适用于本文件。 3.1 信息技术产品 informationtechnologyproduct 具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统。注:信息技术产品包括计算机及其辅助设备、通信设备、网络设备、自动控制设备、操作系统、数据库、应用软件等。 [来源:GB/T32921—2016,3.1,有修改] 3.2 信息技术产品需求方 informationtechnologyproductacquirers 从信息技术产品供应方获取产品的组织。 [来源:GB/T36637—2018,3.1,有修改] 3.3 信息技术产品供应方 informationtechnologyproductsuppliers 产品供应方提供信息技术产品的组织。注:产品供应方主要包括信息技术产品供应商、生产商等。 [来源:GB/T36637—2018,3.2,有修改] 3.4 信息技术产品供应链 informationtechnologyproductsupplychain 为满足供应关系通过资源和过程将信息技术产品的需求方、供应方相互连接的网链结构。 [来源:GB/T36637—2018,3.4,有修改] 1RB/T221—2023 仅供国家认证认可监督管理委员会内部使用 4 评价内容 4.1 制度和人员管理 4.1.1 管理制度产品供应方在管理制度方面应满足以下要求: a) 制定供应链管理的总体方针和安全策略,包括但不限于供应链管理的总体目标、范围、原则和安全框架等; b) 建立产品供应链安全管理制度,包含但不限于采购与供应商管理、物流与仓储、测试验证、供应链可追溯和供应链可持续等内容; c) 制定供应链安全风险评估制度和流程,并采取对应的风险控制措施; d) 建立、维护产品供应链的应急计划和响应措施,应急计划应包括但不限于启动预案的条件、应急组织构成、相关人员及其职责、应急资源保障、事后教育和培训等内容。 4.1.2 管理机构产品供应方应明确供应链安全管理工作的相关部门,并规定相关部门的供应链安全管理职责。 4.1.3 人员管理产品供应方在人员管理方面应满足以下要求: a) 制定人员安全制度,明确供应链中各类人员的角色和职责,其中人员包括但不限于组织高层管理人员、采购相关人员、供应链安全管理人员、物流人员、运输和接收人员、测试验证人员等; b) 及时终止离岗和调任人员对供应链相关系统的访问权限; c) 建立供应商人员的访问机制与审计机制; d) 制定安全培训计划,将产品供应链安全风险管理培训纳入安全培训计划中,并定期执行,培训对象包括供应链中各类人员; e) 建立沟通机制,加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。 4.2 采购与供应商管理 4.2.1 采购管理产品供应方在采购管理方面应满足以下要求: a) 建立相应的采购制度并明确相应的流程; b) 与供应商签订产品部件的采购协议,并提出安全保障、保密、验收准则和服务水平指标等内容; c) 要求供应商对其交付的产品部件实行安全配置; d) 建立采购产品的关键部件清单; e) 建立开源产品部件的安全管理程序,包括但不限于安全评估程序、漏洞修复程序以及合规使用等。 4.2.2 供应商管理产品供应方在供应商管理方面应满足以下要求: a) 根据产品部件的重要程度,制定供应商选择策略和制度,并对供应商进行筛选和评价; b) 在发现产品部件的脆弱性和漏洞后,应要求供应商及时通报并进行修复; 2RB/T221—2023 仅供国家认证认可监督管理委员会内部使用 c) 要求供应商对其交付的产品部件采取完整性措施; d) 供应商变更时,对供应商变更带来的安全风险进行评估,并采取有关措施对风险进行控制。 4.3 物流与仓储产品供应方在物流与仓储方面应满足以下要求: a) 制定产品部件的入库、仓储、出库等环节的管理规范; b) 制定物流服务供应方、物流配送过程等方面的安全策略,记录和保留信息技术产品部件的仓储、运输和交付等状态; c) 进入物流交接区的访问仅限于已标识的和已授权的人员。 4.4 测试验证产品供应方在测试验证方面应满足以下要求: a) 建立对供应商提供产品部件的验证程序及定期确认程序,以确保满足相关要求; b) 保存产品部件的验证记录、确认记录及合格证明等有关数据。 4.5 供应链可追溯产品供应方在供应链可追溯性方面应满足以下要求: a) 建立和维护可追溯性的策略和程序,保证产品部件来源的可追溯能力; b) 记录和保留产品部件供应商的相关信息,包括但不限于产品技术变更、原供应地址变更、原提供商变更等。 4.6 供应链可持续产品供应方在可持续性方面应满足以下要求: a) 建立和维护可持续性的策略和程序,保证产品部件的持续供应能力; b) 建立产品部件备件替换制度或方案(如多源供应、建立时间可控的替代预案等),以确保产品的供应链不会被意外中断导致影响产品供应; c) 采取措施来追踪产品在生产、运输、存储、交付、升级更新中的相关部件安全,以防止部件丢失、受损、被假冒等导致的供应链中断。 5 评价方法 5.1 制度与人员管理 5.1.1 管理制度认证机构对产品供应方管理制度的评价方法、预期结果和结果判定如下: a) 评价方法: 1) 检查是否制定了供应链管理的总体方针和安全策略,包括供应链管理的总体目标、范围、原则和安全框架等; 2) 检查是否建立了产品供应链安全管理制度,包括但不限于采购与供应商管理、物流与仓储、测试验证、供应链可追溯和供应链可持续等内容; 3) 检查相关制度文件和记录表单,确认是否制定了供应链风险评估制度和流程;检查是否选择、制定和实施了有效的供应链风险控制措施; 4)