《軟件供應(yīng)鏈安全保護(hù)能力測評規(guī)范（征求意見稿）》編制說明

從世界范圍看，軟件供應(yīng)鏈安全威脅和風(fēng)險日益突出，并日益向政治、經(jīng)濟(jì)、社會、國防等領(lǐng)域傳導(dǎo)滲透。（1）xz-utils、log4j等軟件供應(yīng)鏈安全事件頻發(fā)，安全漏洞、許可協(xié)議違規(guī)使用、停服斷供等軟件供應(yīng)鏈安全風(fēng)險，給社會安全、科技安全、信息技術(shù)安全帶來嚴(yán)重危害，嚴(yán)重危害軟件供應(yīng)鏈安全；（2）我國政府、企事業(yè)單位等各類組織高度關(guān)注軟件供應(yīng)鏈安全，網(wǎng)絡(luò)安全法、反間諜法、關(guān)基保護(hù)條例等法律法規(guī)以及軟件供應(yīng)鏈安全要求國家標(biāo)準(zhǔn)中均對軟件供應(yīng)鏈相關(guān)實體要素提出安全要求；（3）在國家、地方、行業(yè)或團(tuán)體標(biāo)準(zhǔn)等層面尚未提出針對軟件供應(yīng)鏈安全保護(hù)能力測評的統(tǒng)一技術(shù)規(guī)范或要求。本文件能夠為軟件供應(yīng)鏈安全保護(hù)能力測評提供依據(jù)，對提升軟件供應(yīng)鏈安全風(fēng)險防范能力，進(jìn)一步推動軟件供應(yīng)鏈安全有關(guān)國家標(biāo)準(zhǔn)、政策法規(guī)落地實施具有較好支撐作用。二、任務(wù)來源近年來，軟件供應(yīng)鏈安全事件頻發(fā)，嚴(yán)重危害網(wǎng)絡(luò)安全。停服斷供、安全漏洞以及外部代碼組件違規(guī)使用等軟件供應(yīng)鏈安全風(fēng)險導(dǎo)致傳統(tǒng)軟件安全面臨新的挑戰(zhàn)，有的已經(jīng)阻礙正常工作生活的持續(xù)穩(wěn)定運行，甚至危害國家安全?！吨腥A信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)中對軟件產(chǎn)品，及其供應(yīng)和使用單位提出了要求。在國家標(biāo)準(zhǔn)層面《網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求》正式發(fā)布，然而在安全測評方面并未形成統(tǒng)一的標(biāo)準(zhǔn)規(guī)范。經(jīng)中國網(wǎng)絡(luò)空間安全協(xié)會專家審議通過，2024年6月17日下達(dá)《軟件供應(yīng)鏈安全檢測規(guī)范》團(tuán)體標(biāo)準(zhǔn)計劃項目。三、編制過程了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并針對標(biāo)準(zhǔn)大體框架與內(nèi)容方向進(jìn)行了修改與調(diào)整，形成第一版標(biāo)準(zhǔn)草案。意標(biāo)準(zhǔn)立項。標(biāo)準(zhǔn)名稱和內(nèi)容。四、主要內(nèi)容技術(shù)指標(biāo)確立本文件依據(jù)GB/T43698-2024《網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求》中對供需雙方的安全要求確定測評指標(biāo)、測評對象和測評實施等主要內(nèi)容。本文件確定了供需雙方組織管理和供應(yīng)活動管理安全要求的測評指標(biāo)、測評對象和測評實施過程和安全保護(hù)能力等級評定方法。本文件適用于指導(dǎo)軟件供應(yīng)鏈中的供需雙方開展軟件供應(yīng)鏈安全保護(hù)能力測評、可為第三方機(jī)構(gòu)提供測評依據(jù)，也可為主管監(jiān)管部門提供參考。本標(biāo)準(zhǔn)牽頭單位為中國信息安全測評中心，參編單位有工業(yè)和信息化部第五研究所、京東科技信息技術(shù)有限公司、統(tǒng)信軟件技術(shù)有限公司、麒麟軟件有限公司、深圳市金蝶天燕云計算股份有限公司、蘇州棱鏡七彩信息科技有限公司等。五、與相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標(biāo)準(zhǔn)參考的相關(guān)法律、法規(guī)和GB/T43698-2024《網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求》GB/T5271.1-2000《信息技術(shù)詞匯第1部分：基本術(shù)GB/T7027-2002《信息分類和編碼的基本原則與方法》GB/T4754-2017《國民經(jīng)濟(jì)行業(yè)分類》GB/T10113-2003《分類與編碼通用術(shù)語》GB/T25069-2010《信息安全技術(shù)術(shù)語》ISO/IEC19770-2:2015《Informationtechnology—ITassetmanagementPart2:Softwareidentificationtag》NIST.IR.8060《GuidelinesfortheCreationofInteroperableSoftwareIdentification(