ICS 35.020 L 70 团 体标 准 T/GDCSA 00*—2022 重要信息基础设施供应链安全检查评估规范 Specification for security inspection and evaluation of important information infrastructure supply chain 2022 - 00 - 00 发布 2022- 00 -00 实施 ******* 发布 T/GDCSA 00*—2022 目 次 前言 II 引言 II 1范围. 2规范性引用文件 4 评估依据与原则. N 5 安全检查评估流程， 6 现场评估方法.. 评估内容与服务输出. T/GDCSA 00*—2022 前創言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由***提出。 本文件由***归口。 本文件起草单位：***。 本文件主要起草人：***。 本文件为首次发布。 II T/GDCSA00*2022 引言 随着经济全球化和信息技术的快速发展，网络产品和服务供应链已发展为遍布全球的复杂系统， 任一产品组件、任一供应链环节出现问题，都有可能影响重要信息基础设施。保障重要基础设施安全 的一个重要方面是要确保重要信息基础设施使用的网络产品和服务的供应链安全。 2020年4月27日，国家互联网信息办公室等12个部门联合发布了《网络安全审查办法》（以下 简称审查办法），要求重要信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的， 应当进行网络安全审查。审查办法作为落实《网络安全法》第三十五条提出的网络安全审查制度的重 要制度文件，将重点关注重要信息基础设施采购网络产品和服务可能带来的国家安全风险，确保重要 信息基础设施供应链安全。 重要信息基础设施供应链安全涉及了网络产品和服务从无到有再到废弃的整个生命周期，不仅包 含传统的生产、仓储、销售、交付等供应链环节，还延伸到产品的设计、开发、集成等生命周期，以 及交付后的安装、运维等过程。本文件以网络安全审查制度为基础，为重要信息基础设施供应链安全 检查评估提供标准，以确保能够建立安全可靠的重要信息基础设施供应链，保障国家产业安全、经济 安全和社会长治久安。 III T/GDCSA00*2022 重要信息基础设施供应链安全检查评估规范 1范围 本文件规定了重要信息基础设施供应链安全检查评估的依据与原则、评估流程、现场评估方法、评 估内容与服务输出等内容 本文件适用于开展指导重要信息基础设施供应链安全检查评估工作，同时也适用重要信息基础设施 运营单位开展重要信息基础设施供应链安全自查评估。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的，凡是标注日期的引用文件，仅注明日期的版本适用于本 文件。凡是不注明日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069-2010信息安全技术术语 GB/T36637-2018信息安全技术ICT供应链安全风险管理指南 GB/T37980-2019信息安全技术工业控制系统安全检查指南 信息安全技术关键信息基础设施网络安全保护要求 20173587-T-469信息安全技术关键信息基础设施安全检查评估指南 3术语和定义 下列术语和定义适用于本文件。 3. 1 重要信息基础设施criticalinformationinfrastructure 对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及 其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息设施。 3. 2 供应链 supply chain 为满足供应关系通过资源和过程将需方、供方相互连接的网链结构，可用于将网络产品和服务提供 给需方。 3. 3 安全检查 security inspection 以查代促、以查促改、以查促管、以查促防，旨在推动提高信息安全工作能力和防护水平。 3. 4 评估assessment 系统化的检验一个实体满足所规约的需求的程度。当用于可交付件时，与评价是同义。