信息安全技术 ICT供应链安全风险管理指南 GBT 36637-2018.pdf

GB/T366372018引言随着信息通信技术的普及应用，加强ICT供应链的安全可控保障变得至关重要。目前，世界各国和ICT行业已普道认识到，相比传统行业ICT行业供应链更加复杂，存在安全风险的概率更大。加强CT供应链安全管理，可增强客户对ICT供应链以及ICT行业的安全信任。与传统供应链相比，CT供应链具有许多不同的特点，例如：ICT供应链涵盖1CT产品和服务的全生命周期，不仅包括传统供应链的生产、集成、仓储、交付等供应阶段，也包括产品服务的设计开发阶段和售后运维阶段；CT产品由全球分布的供应商开发、集成或交付，供应链的全球分布性使得客户对供应链的学握情况和安全风险控制能力在下降：传统供应链主要关注如何将产品有效地交付给客户，或者供应链健壮性的强度，而ICT供应链安全更关注是否会有额外的功能注入产品和服务中，交付的产品和服务是否与预期一致等。这些特点使得ICT供应链比传统供应链存在更多的安全风险，加强ICT供应链的安全风险管理刻不容缓。本标准不规范信息技术产品供应方的安全行为准则。推荐在关键信息基础设施或重要信息系统中使用本标准。然而，由于个别需要和相关性，组织可选择将标准应用到其他系统或特定组织，不过应用本标准的控制措施可能会增加组织和外部供应商的潜在成本，需要组织在成本和风险间进行权衡。6