版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
ICS35.240.01CCSL78T/CSACTestingandevaluatingmethodforsoftwaresupplychainIT/CSAC004—2024 2規(guī)范性引用文件 3術(shù)語和定義 4概述 4.1測評指標(biāo) 4.2測評對象 4.3測評方法 4.4測評結(jié)果 4.5測評流程 4.6測評結(jié)論 5需方軟件供應(yīng)鏈安全要求測評方法 5.1組織管理 5.1.1機構(gòu)管理 5.1.2制度管理 5.1.3人員管理 5.1.4供應(yīng)商管理 5.1.5知識產(chǎn)權(quán)管理 5.2供應(yīng)活動管理 5.2.1基本流程 5.2.2軟件采購 5.2.3軟件獲取 5.2.4軟件運維 5.2.5軟件廢止 6供方軟件供應(yīng)鏈安全要求測評方法 6.1組織管理 6.1.1機構(gòu)管理 6.1.2制度管理 6.1.3人員管理 6.1.4知識產(chǎn)權(quán)管理 6.2供應(yīng)活動管理 6.2.1基本流程 6.2.2軟件開發(fā) 6.2.3軟件交付 6.2.4軟件運維 6.2.5軟件廢止 T/CSAC004—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國網(wǎng)絡(luò)空間安全協(xié)會提出。本文件由中國網(wǎng)絡(luò)空間安全協(xié)會歸口。本文件起草單位:中國信息安全測評中心、工業(yè)和信息化部第五研究所、京東科技信息技術(shù)有限公司、統(tǒng)信軟件技術(shù)有限公司、麒麟軟件有限公司、深圳市金蝶天燕云計算股份有限公司、蘇州棱鏡七彩信息科技有限公司、中移(杭州)信息技術(shù)有限公司、沈陽東軟系統(tǒng)集成工程有限公司、北京數(shù)字認(rèn)證股份有限公司、三六零數(shù)字安全科技集團有限公司、中孚安全技術(shù)有限公司、拓爾思信息技術(shù)股份有限公司、杭州網(wǎng)易智企科技有限公司、南京南瑞信息通信科技有限公司、北京航空航天大學(xué)。本文件主要起草人:王曉萌、邵帥、崔靜、高松、柴思躍、張磊、顧欣、廖晗、崔欣、劉芬芬、鄭偉娜、唐洪山、林琳、李偉彬、梁大功、黃浩東、徐倩華、蔡倩楠、楊萬祿、馬榿、庹鑫、賈彥生、沈天翔、劉中、肖若楠、李娜、耿貴寧、張浩、馬奧、王洪俊、朱浩奇、李雨珂、潘恒、徐文耀、關(guān)振宇、李大偉。1T/CSAC004—2024軟件供應(yīng)鏈安全要求測評方法本文件確定了供需雙方組織管理和供應(yīng)活動管理安全要求的測評指標(biāo)、測評對象和測評流程。本文件適用于指導(dǎo)軟件供應(yīng)鏈中的供需雙方開展軟件供應(yīng)鏈安全測評,可為第三方機構(gòu)提供測評依據(jù),也可為主管監(jiān)管部門提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語GB/T43698—2024網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求3術(shù)語和定義GB/T25069—2022和GB/T43698—2024中界定的以及下列術(shù)語和定義適用于本文件。3.1供應(yīng)關(guān)系supplierrelation需方和供方之間為開展業(yè)務(wù)、提供軟件產(chǎn)品而建立的協(xié)議、合同等契約關(guān)系。[來源:GB/T43698-2024,3.5]3.2供應(yīng)活動supplyactivity需方和供方為維持日常生產(chǎn)基于供應(yīng)關(guān)系進行的軟件采購、開發(fā)、獲取、交付、運維、廢止等活動的總稱。[來源:GB/T43698-2024,3.6]3.3軟件供應(yīng)鏈softwaresupplychain需方和供方基于供應(yīng)關(guān)系,開展并完成軟件采購、開發(fā)、交付、獲取、運維和廢止等供應(yīng)活動而形成的網(wǎng)鏈結(jié)構(gòu)。[來源:GB/T43698-2024,3.7]3.4軟件供應(yīng)鏈安全圖譜softwaresupplychainsecuritygraph2T/CSAC004—2024軟件產(chǎn)品信息、軟件物料清單、安全信息等內(nèi)容及其關(guān)聯(lián)關(guān)系的描述和表示。[來源:GB/T43698-2024,3.9]4概述4.1測評指標(biāo)GB/T43698-2024中供需雙方組織管理和供應(yīng)活動管理的每條安全要求。4.2測評對象測評指標(biāo)涉及的人員、機構(gòu)、制度、文件、軟件產(chǎn)品等。4.3測評方法測評方法主要包括以下三種:a)訪談:測評人員通過引導(dǎo)軟件供應(yīng)鏈安全保護能力測評相關(guān)人員進行有目的的交流,幫助測評人員理解、澄清或取得證據(jù),從而判定是否滿足指標(biāo)要求;b)核查:測評人員通過對測評對象,如制度、文件、軟件產(chǎn)品等進行觀察、查驗和分析、幫助測評人員理解、澄清或取得證據(jù),從而判定是否滿足指標(biāo)要求;c)檢測:測評人員使用完整性校驗、訪問控制分析、源代碼安全缺陷檢測、二進制代碼漏洞分析以及軟件成分分析等技術(shù)使測評對象產(chǎn)生特定的結(jié)果,通過結(jié)果與預(yù)期結(jié)果比對,從而判定是否滿足測評指標(biāo)要求。4.4測評結(jié)果測評結(jié)果包括:a)完全符合:通過對測評對象的訪談、核查或檢測,滿足所有預(yù)期結(jié)果;b)部分符合:通過對測評對象的訪談、核查或檢測,滿足部分預(yù)期結(jié)果;c)不符合:通過對測評對象的訪談、核查或檢測,不滿足任何預(yù)期結(jié)果;d)不涉及:與測評指標(biāo)的所有內(nèi)容不相關(guān)。4.5測評流程采用測評方法對測評對象實施訪談、核查或檢測并給出測評結(jié)果的過程。4.6測評結(jié)論參考GB/T43698-2024附錄D對軟件供應(yīng)鏈安全圖譜級別的劃分,匯總測評結(jié)果給出如下測評結(jié)論:a)軟件供應(yīng)鏈安全保障能力達(dá)到基礎(chǔ)級:組織管理和供應(yīng)活動安全要求完全符合及部分符合項數(shù)不少于測評總項數(shù)的80%,軟件供應(yīng)鏈安全圖譜符合基礎(chǔ)級圖譜要求;b)軟件供應(yīng)鏈安全保障能力達(dá)到通用級:組織管理和供應(yīng)活動安全要求完全符合及部分符合項數(shù)不少于測評總項數(shù)的80%,軟件供應(yīng)鏈安全圖譜符合通用級要求;c)軟件供應(yīng)鏈安全保障能力達(dá)到增強級:組織管理和供應(yīng)活動安全要求完全符合及部分符合項數(shù)不少于測評總項數(shù)的80%,軟件供應(yīng)鏈安全圖譜符合增強級要求。5需方軟件供應(yīng)鏈安全要求測評方法3T/CSAC004—20245.1組織管理5.1.1機構(gòu)管理5.1.1.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)明確軟件供應(yīng)鏈安全管理組織機構(gòu)或人員及其職責(zé)范圍,提供保障軟件供應(yīng)鏈安全所需的資源(如有關(guān)資金、場地、人力等),并在預(yù)算管理過程中予以重點考慮。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管,核查管理制度以及表單等文件;c)預(yù)期結(jié)果:具有軟件供應(yīng)鏈安全管理組織機構(gòu)、人員和職責(zé)分工以及資金支持。5.1.1.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜,定期(至少每年一次)開展軟件供應(yīng)鏈安全檢測、風(fēng)險評估等軟件供應(yīng)鏈安全風(fēng)險管理工作,包括但不限于軟件成分分析、源代碼和二進制代碼安全漏洞分析等。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管,核查安全檢測報告,檢測軟件供應(yīng)鏈安全圖譜。c)預(yù)期結(jié)果:1)開展軟件供應(yīng)鏈安全檢測、風(fēng)險評估等軟件供應(yīng)鏈安全風(fēng)險管理工作不少于1次;2)具有軟件成分分析、源代碼和二進制代碼安全漏洞分析等至少一項安全檢測或風(fēng)險評估報3)至少具有軟件資產(chǎn)清單、軟件物料清單或軟件供應(yīng)鏈安全圖譜中的一項。5.1.1.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)及時制定、修訂、宣貫、執(zhí)行各項軟件供應(yīng)鏈安全管理制度、流程以及機制。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管,核查管理制度文件和執(zhí)行情況。c)預(yù)期結(jié)果:1)具有軟件供應(yīng)鏈安全管理制度、流程以及機制,并有宣貫記錄;2)具有執(zhí)行和修訂情況的記錄。5.1.1.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):對于重要或核心業(yè)務(wù)場景,宜設(shè)立專職軟件供應(yīng)鏈管理機構(gòu)開展軟件供應(yīng)鏈安全管理工作。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管、核查管理制度文件。c)預(yù)期結(jié)果:1)設(shè)立專職軟件供應(yīng)鏈管理機構(gòu);2)對組織機構(gòu)和人員有明確的職責(zé)劃分。5.1.2制度管理5.1.2.1測評項a本項測評內(nèi)容包括:4T/CSAC004—2024a)測評指標(biāo):應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略(可作為單獨的文件,也可作為相關(guān)文件中的一部分),至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別處置、監(jiān)督檢查等內(nèi)容。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:制度中具有軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別處置、監(jiān)督檢查等內(nèi)容。5.1.2.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險持續(xù)監(jiān)測、風(fēng)險評估和事件響應(yīng)制度,明確不同等級安全事件的報告、處置、響應(yīng)的流程和機制,規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)等要求。b)測評流程:核查管理制度類文件。c)預(yù)期結(jié)果:1)具有不同等級安全事件的報告、處置、響應(yīng)的流程和機制;2)具有安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)等內(nèi)容。5.1.2.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定軟件采購、獲取、運維、廢止等供應(yīng)活動安全管理制度,例如安全開發(fā)、交付部署和驗收、故障處理和維護升級等管理制度、規(guī)程或機制。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:具有軟件采購、獲取、運維、廢止等供應(yīng)活動中的相關(guān)安全要求。5.1.2.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度,例如人員權(quán)限、能力、資質(zhì)、背景、技能培訓(xùn)等;對于重要崗位人員(如采購人員、安全測試人員、配置管理人員、漏洞管理人員等)應(yīng)明確并開展背景審查工作的要求。b)測評流程:核查人員管理制度文件。c)預(yù)期結(jié)果:1)具有人員權(quán)限、技術(shù)能力、專業(yè)資質(zhì)、安全背景、技能培訓(xùn)等要求;2)具有對采購、安全測試、配置管理、漏洞管理等人員背景審查的要求。5.1.2.5測評項e本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定供應(yīng)商管理制度,包括但不限于供應(yīng)商資質(zhì)審核、供應(yīng)商分類分級、供應(yīng)商不良行為處理等。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:具有供應(yīng)商資質(zhì)審核、供應(yīng)商分類分級、供應(yīng)商不良行為處理等內(nèi)容。5.1.2.6測評項f本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定知識產(chǎn)權(quán)管理制度,包括但不限于軟件授權(quán)證書、專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。b)測評流程:核查管理制度文件。5T/CSAC004—2024c)預(yù)期結(jié)果:具有對專利、軟件著作權(quán)、許可協(xié)議等制度內(nèi)容。5.1.3人員管理5.1.3.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)明確人員需具備的軟件供應(yīng)鏈實體要素的識別和安全分析能力,如軟件資產(chǎn)識別分析、軟件漏洞挖掘、后門檢測、訪問控制管理、完整性保護等。b)測評流程:核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果:1)具有軟件資產(chǎn)識別分析、軟件漏洞挖掘、后門檢測、訪問控制管理、完整性保護等至少一項能力要求;2)具有軟件供應(yīng)鏈實體要素的識別和安全分析能力的考核記錄。5.1.3.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)劃分人員的職責(zé)定位、權(quán)限級別,采用最小授權(quán)機制并建立操作規(guī)范,創(chuàng)建操作b)測評流程:核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果:1)劃分了軟件供應(yīng)鏈安全管理人員職責(zé)分工、權(quán)限級別;2)根據(jù)工作任務(wù)分配了最小權(quán)限;3)具有人員操作日志或記錄。5.1.3.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)定期(至少每年一次)開展軟件供應(yīng)鏈安全和保密培訓(xùn),培訓(xùn)內(nèi)容包括但不限軟件供應(yīng)鏈實體要素的識別和安全分析能力涉及的內(nèi)容。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管,核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果:1)開展了保密培訓(xùn),具有培訓(xùn)記錄,并記錄了培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等描述;2)培訓(xùn)內(nèi)容包含軟件供應(yīng)鏈實體要素識別或安全分析能力中至少一項。5.1.3.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)建立并執(zhí)行離職離崗人員賬號、權(quán)限、材料的交接和清理機制和規(guī)程。b)測評流程:核查管理制度文件、記錄表單類文檔,檢測賬號權(quán)限。c)預(yù)期結(jié)果:1)具有離職人員賬號、權(quán)限、材料的交接和清理機制和規(guī)程;2)具有離職離崗人員停止其賬號及訪問權(quán)限、交還材料等記錄;3)離職人員賬號權(quán)限已不可用。5.1.3.5測評項e本項測評內(nèi)容包括:6T/CSAC004—2024a)測評指標(biāo):對于核心業(yè)務(wù)場景,宜配置軟件供應(yīng)鏈安全保障團隊,并根據(jù)需要開展相關(guān)人員的背景調(diào)查。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管,核查記錄表單類文檔。c)預(yù)期結(jié)果:1)具有軟件供應(yīng)鏈安全保障團隊;2)具有開展人員背景調(diào)查的內(nèi)容、結(jié)果的記錄。5.1.3.6測評項f本項測評內(nèi)容包括:a)測評指標(biāo):對于核心業(yè)務(wù)場景,宜具備防范各類軟件供應(yīng)鏈安全風(fēng)險能力,例如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管。c)預(yù)期結(jié)果:具有軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析能力中至少一項。5.1.4供應(yīng)商管理5.1.4.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)分類分級建立合格的供應(yīng)目錄,對供應(yīng)目錄及相關(guān)信息進行集中管理,并定期或按照實際需求進行更新維護。b)測評流程:核查管理制度文件、記錄表單類文檔。c)預(yù)期結(jié)果:1)具有供應(yīng)目錄以及供應(yīng)商評價指標(biāo)、評價方法、評價流程等制度;2)具有開展供應(yīng)商評價或供應(yīng)商分類分級的記錄;3)具有定期或按照實際需求更新維護供應(yīng)目錄的記錄。5.1.4.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)優(yōu)先選擇供應(yīng)目錄中滿足條件的供應(yīng)商。b)測評流程:核查管理制度類文件、記錄表單文件。c)預(yù)期結(jié)果:規(guī)定優(yōu)先選擇供應(yīng)目錄中滿足條件的供應(yīng)商。5.1.4.3測評項ca)測評指標(biāo):根據(jù)軟件供應(yīng)鏈中供應(yīng)關(guān)系、供應(yīng)活動的不同,供應(yīng)商應(yīng)符合供應(yīng)活動安全要求。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:具有軟件開發(fā)、軟件交付、軟件運維和軟件廢止中至少一項制度內(nèi)容。5.1.4.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定供應(yīng)商選擇策略和制度,對供應(yīng)商進行風(fēng)險分析,包括但不限于背景、資質(zhì)、能力以及能否持續(xù)安全提供產(chǎn)品或服務(wù)等方面的風(fēng)險。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:1)具有供應(yīng)商選擇策略或機制;7T/CSAC004—20242)具有背景、資質(zhì)、能力等評估的要求和記錄。5.1.4.5測評項e本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)要求供方開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估工作,明確相關(guān)內(nèi)容和范圍;確需第三方機構(gòu)的,應(yīng)明確對第三方機構(gòu)的能力、資質(zhì)等要求。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:1)具有供方開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估工作的要求;2)要求第三方機構(gòu)對供方開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估工作,并明確能力、資質(zhì)要求。5.1.4.6測評項f本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)要求供方配合相關(guān)部門開展軟件供應(yīng)鏈安全審查、監(jiān)督和檢查。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:具有供方配合相關(guān)部門開展軟件供應(yīng)鏈安全審查、監(jiān)督和檢查的要求。5.1.4.7測評項g本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)在供應(yīng)關(guān)系、供應(yīng)商股權(quán)等信息發(fā)生變更時,對變更帶來的安全風(fēng)險進行評估,并采取相應(yīng)的風(fēng)險控制措施。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:規(guī)定了在供應(yīng)關(guān)系、供應(yīng)商股權(quán)等信息發(fā)生變更時,對風(fēng)險進行評估并采取相應(yīng)的風(fēng)險控制措施。5.1.4.8測評項h本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)建立供應(yīng)商替代方案或具備相應(yīng)軟件的自主維護能力,防范軟件供應(yīng)鏈中斷風(fēng)險。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:規(guī)定了建立供應(yīng)商替代方案或具備相應(yīng)軟件的自主維護能力的要求。5.1.5知識產(chǎn)權(quán)管理5.1.5.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)防止因知識產(chǎn)權(quán)問題導(dǎo)致的法律風(fēng)險,或具備防范相應(yīng)法律風(fēng)險的能力和機制。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:規(guī)定專利、軟著、授權(quán)、許可證至少一項知識產(chǎn)權(quán)管理要求。5.1.5.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)充分熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識產(chǎn)權(quán),對知識產(chǎn)權(quán)進行規(guī)范管理,防止侵權(quán)。b)測評流程:訪談知識產(chǎn)權(quán)管理人員。8T/CSAC004—2024c)預(yù)期結(jié)果:1)熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識產(chǎn)權(quán)使用情況;2)未發(fā)生專利侵權(quán)案件;3)未違規(guī)使用開源組件。5.1.5.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):在核心業(yè)務(wù)場景中,宜對所使用的軟件產(chǎn)品或服務(wù)相關(guān)的國內(nèi)外知識產(chǎn)權(quán)情況進行詳細(xì)識別分析,建立相關(guān)知識產(chǎn)權(quán)風(fēng)險的應(yīng)對方案。b)測評流程:核查管理制度文件、記錄文件。c)預(yù)期結(jié)果:1)具有對所使用的軟件的知識產(chǎn)權(quán)情況進行詳細(xì)識別分析的要求;2)具有知識產(chǎn)權(quán)識別分析的記錄;3)建立了知識產(chǎn)權(quán)風(fēng)險的應(yīng)對方案。5.2供應(yīng)活動管理5.2.1基本流程5.2.1.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)在開展供應(yīng)活動前,以協(xié)議、合同等方式與供方建立供應(yīng)關(guān)系。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:開展供應(yīng)活動前簽訂了協(xié)議或合同。5.2.1.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)在協(xié)議、合同等文件中明確對供應(yīng)活動的安全要求,并簽署相應(yīng)的保密協(xié)議。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:1)具有軟件采購、獲取、運維、廢止等至少一類安全要求;2)具有有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。5.2.1.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)按照約定的內(nèi)容和范圍開展軟件供應(yīng)活動管理。b)測評流程:核查協(xié)議、合同執(zhí)行記錄。c)預(yù)期結(jié)果:按照軟件采購、獲取、運維、廢止等的內(nèi)容和范圍開展相應(yīng)供應(yīng)活動。5.2.2軟件采購5.2.2.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)邀請軟件供應(yīng)鏈安全、網(wǎng)絡(luò)空間安全等領(lǐng)域?qū)<遥ɑ蚓邆湎鄳?yīng)網(wǎng)絡(luò)空間安全能力的評標(biāo)人員)參與招標(biāo)采購過程。9T/CSAC004—2024b)測評流程:核查記錄表單類文件。c)預(yù)期結(jié)果:評標(biāo)人員中包含至少一位軟件供應(yīng)鏈安全、網(wǎng)絡(luò)空間安全等領(lǐng)域?qū)<摇?.2.2.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)結(jié)合軟件應(yīng)用的實際業(yè)務(wù)場景,明確對軟件供應(yīng)鏈安全圖譜的要求;需要供方提供軟件供應(yīng)鏈安全圖譜的應(yīng)明確圖譜的內(nèi)容,如安全圖譜的等級、可追溯層級等。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:1)具有軟件供應(yīng)鏈安全圖譜中軟件產(chǎn)品信息、軟件物料清單或安全信息中至少一項要求;2)規(guī)定了安全圖譜的等級、可追溯層級等內(nèi)容。5.2.2.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)根據(jù)國家和行業(yè)已發(fā)布標(biāo)準(zhǔn)以及自身業(yè)務(wù)要求制定軟件的安全需求基線和防護架構(gòu),如軟件應(yīng)具備的安全防護能力、保護個人信息和重要數(shù)據(jù)等不被泄露的能力。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:明確了軟件應(yīng)具備的安全防護能力、防止個人信息和重要數(shù)據(jù)泄漏的能力需求。5.2.2.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)確定所采購軟件的授權(quán)使用期限及相應(yīng)的技術(shù)協(xié)助要求,在授權(quán)方式可選的條件下,明確軟件的激活、授權(quán)需求,優(yōu)先選擇離線永久激活模式,其次是完全在國內(nèi)線上永久激活,再次是完全在國內(nèi)實現(xiàn)的周期性線上激活、國外線上激活(永久或周期性)。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:明確了所采購軟件的授權(quán)方式、使用期限、技術(shù)協(xié)助要求。5.2.2.5測評項e本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定從多個源廠商獲得兼容的產(chǎn)品和服務(wù)的方案,確保軟件來源的多樣性。對于單一來源的軟件,應(yīng)制定風(fēng)險消減措施。b)測評流程:核查記錄表單類文檔。c)預(yù)期結(jié)果:1)具備從多個源廠商獲得兼容的產(chǎn)品和服務(wù)的方案;2)具有單一來源軟件的風(fēng)險消減措施。5.2.2.6測評項f本項測評內(nèi)容包括:a)測評指標(biāo):對于定制研發(fā)軟件,應(yīng)要求供方具備安全開發(fā)相關(guān)資質(zhì)或建立安全開發(fā)規(guī)范,建立和維護安全的開發(fā)環(huán)境、建立工具和設(shè)備的安全管理和準(zhǔn)入控制等。b)測評流程:核查協(xié)議、合同,訪談建設(shè)負(fù)責(zé)人。c)預(yù)期結(jié)果:1)規(guī)定了供方需具備安全開發(fā)相關(guān)資質(zhì)或建立安全開發(fā)規(guī)范的要求;T/CSAC004—20242)要求供方建立和維護安全的開發(fā)環(huán)境;3)要求供方建立和維護工具、設(shè)備的安全管理和準(zhǔn)入控制策略。5.2.2.7測評項g本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)要求供方提供驗證產(chǎn)品是否來自原廠商且獲得許可的途徑或方法。b)測評流程:核查記錄表單類文檔。c)預(yù)期結(jié)果:具有對供方提供驗證產(chǎn)品來自原廠商且獲得許可的途徑或方法的要求。5.2.2.8測評項h本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)明確對運維技術(shù)團隊及相應(yīng)技術(shù)能力的要求,包括但不限于風(fēng)險監(jiān)測識別、漏洞修復(fù)、完整性保護、安全測試等。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:對運維技術(shù)團隊提出了風(fēng)險監(jiān)測識別、漏洞修復(fù)、完整性保護、安全測試等至少一項能力要求。5.2.2.9測評項i本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)要求軟件開發(fā)、交付、部署、測試等工具和設(shè)備具備可操作的替代方案。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:具有軟件開發(fā)、交付、部署、測試等工具和設(shè)備具備可操作的替代方案的要求。5.2.2.10測評項j本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)考慮政治、外交、貿(mào)易、自然災(zāi)害、公共安全事件等不可抗力導(dǎo)致供應(yīng)中斷時的可替代策略。b)測評流程:核查協(xié)議、合同。c)測評流程:具有不可抗力導(dǎo)致供應(yīng)中斷時供方提供可替代策略的要求。5.2.2.11測評項k本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)明確軟件供應(yīng)鏈安全檢測和風(fēng)險評估的范圍,例如軟件資產(chǎn)識別、源代碼和二進制代碼安全漏洞分析、軟件成分分析等;涉及第三方機構(gòu)的應(yīng)明確第三方機構(gòu)的資質(zhì)能力。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:1)具有軟件資產(chǎn)識別、源代碼或二進制代碼安全漏洞分析以及軟件成分分析等至少一項要求;2)涉及第三方機構(gòu)的,對第三方機構(gòu)的資質(zhì)能力提出要求。5.2.3軟件獲取5.2.3.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)對軟件進行端到端的完整性驗證。T/CSAC004—2024b)測評流程:核查記錄表單類文檔,開展軟件完整性檢測。c)預(yù)期結(jié)果:1)具有端到端的完整性驗證及驗證結(jié)果的記錄;2)完整性檢測結(jié)果與提供的記錄一致。5.2.3.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)對所獲取軟件進行全面安全檢測和風(fēng)險評估,例如源代碼安全漏洞分析、二進制代碼安全漏洞分析、容器鏡像安全分析、軟件成分分析等軟件供應(yīng)鏈安全風(fēng)險評估,確保所獲取軟件符合約定的安全要求。b)測評流程:核查安全檢測報告和協(xié)議、合同,開展軟件安全檢測。c)預(yù)期結(jié)果:1)安全檢測或風(fēng)險評估報告滿足協(xié)議、合同要求;2)具有軟件成分分析、源代碼安全漏洞分析、二進制代碼安全漏洞分析或容器鏡像安全分析等至少一項安全檢測報告,并滿足協(xié)議、合同的約定;3)開展源代碼安全漏洞分析、二進制代碼安全漏洞分析、容器鏡像安全分析或軟件成分分析等至少一項安全檢測,結(jié)果滿足協(xié)議、合同的約定。5.2.3.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)確保獲取的軟件不存在已公開漏洞未修復(fù)的情況;對于存在已公開漏洞未修復(fù)的,應(yīng)要求供方及時修復(fù)或采取相應(yīng)緩解措施,并提供漏洞處置報告。b)測評流程:核查安全檢測報告,開展軟件安全檢測。c)預(yù)期結(jié)果:1)安全檢測報告未發(fā)現(xiàn)已公開高危漏洞未修復(fù)的情況,或?qū)σ压_高危漏洞采取相應(yīng)緩解措施。2)開展安全檢測未發(fā)現(xiàn)已公開高危漏洞未修復(fù)的情況,或?qū)σ压_高危漏洞采取相應(yīng)緩解措施。5.2.3.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):對于定制研發(fā)軟件,宜掌握關(guān)鍵軟件、組件的代碼結(jié)構(gòu)和技術(shù)原理;對于需要二次開發(fā)、獨立維護的應(yīng)獲取軟件源代碼和相關(guān)知識產(chǎn)權(quán)的授權(quán),并妥善保管。b)測評流程:訪談建設(shè)負(fù)責(zé)人,核查記錄表單類文件。c)預(yù)期結(jié)果:1)掌握關(guān)鍵軟件、組件的代碼結(jié)構(gòu)和技術(shù)原理;2)委托開發(fā)單位已提供軟件源代碼以及知識產(chǎn)權(quán)的授權(quán);3)具備軟件源代碼的安全管理措施或機制。5.2.3.5測評項e本項測評內(nèi)容包括:T/CSAC004—2024a)測評指標(biāo):對于定制研發(fā)軟件,應(yīng)要求廠商提供軟件相關(guān)技術(shù)資料,包括但不限于中文版運行維護、二次開發(fā)、軟件使用的場景和條件、權(quán)限和授權(quán)機制,軟件使用說明書、技術(shù)分析報告等技術(shù)資料。b)測評流程:核查軟件技術(shù)資料和記錄表單類文檔。c)預(yù)期結(jié)果:具有中文版運行維護、二次開發(fā)、軟件使用的場景和條件、權(quán)限和授權(quán)機制,以及軟件使用說明書、技術(shù)分析報告等。5.2.4軟件運維5.2.4.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)確定運維方案,包括運維團隊、運維內(nèi)容和范圍、運維流程等內(nèi)容。b)測評流程:核查運維方案。c)預(yù)期結(jié)果:具有運維團隊、運維內(nèi)容和范圍、運維流程等內(nèi)容。5.2.4.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)確保軟件及運行環(huán)境持續(xù)穩(wěn)定可用,保障軟件完整性和訪問控制策略正常。b)測評流程:檢測授權(quán)文件、軟件完整性、訪問控制策略,核查軟件運維記錄。c)預(yù)期結(jié)果:1)授權(quán)文件有效,更新包、補丁包通過完整性驗證;2)訪問控制策略有效可用。5.2.4.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)建立可追溯臺賬,對軟件產(chǎn)品或服務(wù)整個使用過程進行記錄、檢測和維護,及時更新維護軟件供應(yīng)鏈安全圖譜。b)測評流程:核查記錄表單類文檔,檢測軟件供應(yīng)鏈安全圖譜。c)預(yù)期結(jié)果:1)記錄中包含日常巡檢、運行維護、設(shè)置和修改等內(nèi)容;2)軟件供應(yīng)鏈安全圖譜中包含補丁、所使用運維工具等信息。5.2.4.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)將軟件作為組織資產(chǎn)進行管理,保障軟件安裝、升級維護時從安全可控的渠道獲取軟件安裝包、升級包、補丁包,并開展相應(yīng)的可用性、安全性及完整性檢測分析,在確保符合要求后進行軟件安裝、更新升級,并同步更新相關(guān)配置。b)測評流程:核查記錄表單類文檔,訪談建設(shè)負(fù)責(zé)人。c)預(yù)期結(jié)果:1)軟件資產(chǎn)管理對象覆蓋安裝包、升級包;2)安裝包、升級包在使用前經(jīng)過了可用性、安全性、完整性檢測,且滿足安全要求;3)軟件安裝、更新升級后,是否同步更新安全配置。5.2.4.5測評項eT/CSAC004—2024本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)在約定的環(huán)境中使用軟件,對軟件及其運行環(huán)境進行安全配置,并記錄相關(guān)信息。b)測評流程:核查記錄表單類文檔、協(xié)議、合同。c)預(yù)期結(jié)果:1)運行環(huán)境的安全配置滿足協(xié)議、合同中的要求;2)對運行環(huán)境進行了安全配置,并記錄配置信息。5.2.4.6測評項f本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)明確運維人員的訪問權(quán)限級別,對其訪問范圍和授權(quán)期限進行嚴(yán)格區(qū)分,確定不同權(quán)限人員尤其是廠商、外包等非自有維護人員,開展軟件運維的內(nèi)容和邊界檢查。b)測評流程:核查記錄表單類文檔,檢測權(quán)限劃分有效性。c)預(yù)期結(jié)果:1)劃分運維人員的訪問權(quán)限級別,有效區(qū)分訪問范圍和授權(quán)期限;2)對非自有運維人員明確規(guī)定了軟件運維內(nèi)容和邊界,權(quán)限控制策略有效。5.2.4.7測評項g本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)對授權(quán)期限進行管理,禁止使用超過授權(quán)使用期限或維保期限的軟件;確需使用的應(yīng)定期評估并處置其安全風(fēng)險。b)測評流程:核查運維方案、運維記錄文件,訪談建設(shè)負(fù)責(zé)人。c)預(yù)期結(jié)果:1)運維方案對超期使用軟件提出安全風(fēng)險評估和處置要求;2)未發(fā)現(xiàn)超過授權(quán)使用期限或維保期限的軟件;3)存在超期使用的情況,評估并提出了安全風(fēng)險防范措施。5.2.4.8測評項h本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)對軟件運維工具、運維環(huán)境等進行安全檢測和風(fēng)險評估,及時發(fā)現(xiàn)并處置軟件中斷供應(yīng)、停止授權(quán)、停止提供產(chǎn)品升級等供應(yīng)關(guān)系風(fēng)險,漏洞、后門等技術(shù)安全風(fēng)險以及知識產(chǎn)權(quán)風(fēng)險。b)測評流程:核查安全檢測報告或開展安全檢測。c)預(yù)期結(jié)果:1)報告中未發(fā)現(xiàn)軟件運維工具、運維環(huán)境的安全問題;2)開展安全檢測未發(fā)現(xiàn)軟件運維工具、運維環(huán)境的安全問題;3)發(fā)現(xiàn)了安全問題,采取了有效的消控措施。5.2.4.9測評項i本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)收集軟件供應(yīng)鏈的安全風(fēng)險信息,發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險時,應(yīng)當(dāng)立即采取補救措施,并按照規(guī)定及時向有關(guān)主管監(jiān)管部門報告。b)測評流程:訪談建設(shè)負(fù)責(zé)人,核查記錄表單文件,開展安全檢測。c)預(yù)期結(jié)果:1)具有持續(xù)檢測或收集軟件供應(yīng)鏈安全風(fēng)險信息的機制;T/CSAC004—20242)具有修復(fù)補救的記錄,且修復(fù)文件經(jīng)過安全檢測不存在高危安全漏洞或惡意代碼;3)涉及向主管監(jiān)管部門報告的,具有完備的文件和記錄。5.2.4.10測評項j本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)依據(jù)實際業(yè)務(wù)場景的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計劃,制定可接受的恢復(fù)時間和恢復(fù)目標(biāo),并確定防范供應(yīng)中斷和服務(wù)中斷等風(fēng)險的安全策略。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:1)制定了業(yè)務(wù)恢復(fù)策略和程序,明確恢復(fù)時間和恢復(fù)目標(biāo);2)具備防范供應(yīng)中斷和服務(wù)中斷等風(fēng)險的安全策略。5.2.4.11測評項k本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)開展軟件供應(yīng)鏈相關(guān)范圍內(nèi)的數(shù)據(jù)安全檢測分析和風(fēng)險評估等工作,防止因軟件漏洞引起的信息泄露、數(shù)據(jù)泄露、篡改和損毀等安全事件發(fā)生。b)測評流程:核查安全分析報告或記錄,開展安全檢測或風(fēng)險評估。c)預(yù)期結(jié)果:1)具有安全分析報告或分析記錄,未發(fā)現(xiàn)信息泄露、數(shù)據(jù)泄露、數(shù)據(jù)篡改和數(shù)據(jù)損毀等數(shù)據(jù)安全風(fēng)險;2)或者發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險,并采取消控措施。5.2.4.12測評項l本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)對軟件外聯(lián)網(wǎng)絡(luò)地址、域名數(shù)據(jù)等進行檢測和分析,及時發(fā)現(xiàn)產(chǎn)品后門植入、擅自提高權(quán)限等違規(guī)操作。b)測評流程:核查安全檢測報告,或開展安全檢測。c)預(yù)期結(jié)果:1)未發(fā)現(xiàn)軟件外聯(lián)網(wǎng)絡(luò)地址、域名數(shù)據(jù)等檢測等內(nèi)容中存在后門、越權(quán)等安全風(fēng)險。2)或者對已經(jīng)發(fā)現(xiàn)的安全風(fēng)險,采取了消控措施。5.2.5軟件廢止5.2.5.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定軟件廢止處理規(guī)程,例如軟件停用和卸載、軟件供應(yīng)鏈安全圖譜歸檔、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀等,并按照規(guī)程開展相應(yīng)工作。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:1)具有軟件停用和卸載、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀等規(guī)定、流程或機制;2)具有軟件停用和卸載、軟件供應(yīng)鏈安全圖譜歸檔、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀中的至少一類工作記錄。5.2.5.2測評項bT/CSAC004—2024本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)移除準(zhǔn)入控制措施和策略中與所廢止軟件相關(guān)的信息,例如軟件、人員、設(shè)備等要求和規(guī)則;對于不適合清除的應(yīng)制定相應(yīng)的控制措施和策略。b)測評流程:核查管理制度文件或工作記錄文件,開展安全檢測。c)預(yù)期結(jié)果:1)已移除與所廢止軟件相關(guān)的準(zhǔn)入控制措施和策略;2)對不適合移除的,制定了相應(yīng)的控制措施。5.2.5.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)具備軟件廢止后防止軟件泄露、數(shù)據(jù)泄露的安全保障能力。b)測評流程:核查數(shù)據(jù)安全分析報告或檢測數(shù)據(jù)安全保護措施。c)預(yù)期結(jié)果:安全保護措施有效可用,能夠?qū)崿F(xiàn)軟件防泄露、數(shù)據(jù)防泄露。5.2.5.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):對于軟件產(chǎn)品廢止并替換為新產(chǎn)品的,應(yīng)要求新產(chǎn)品的供方支持?jǐn)?shù)據(jù)遷移到新的軟件產(chǎn)品。b)測評流程:核查協(xié)議、合同、數(shù)據(jù)遷移記錄。c)預(yù)期結(jié)果:涉及替換為新產(chǎn)品的,新產(chǎn)品供方已將原始數(shù)據(jù)遷移到新的軟件產(chǎn)品,并記錄清晰。5.2.5.5測評項e本項測評內(nèi)容包括:a)測評指標(biāo):涉及數(shù)據(jù)銷毀的,宜參照GB/T37988—2019中第11章的要求進行數(shù)據(jù)銷毀、防止對存儲的數(shù)據(jù)進行修復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。b)測評流程:核查記錄表單文件。c)預(yù)期結(jié)果:按照GB/T37988—2019中第11章的要求執(zhí)行數(shù)據(jù)銷毀。5.2.5.6測評項f本項測評內(nèi)容包括:a)測評指標(biāo):廢止工作完成后應(yīng)進行安全檢測,確保除例外的要求和規(guī)則外,軟件及其相關(guān)信息被完全廢止。b)測評流程:核查安全檢測報告或記錄。c)預(yù)期結(jié)果:除例外的要求和規(guī)則外,軟件及其相關(guān)信息被完全廢止。6供方軟件供應(yīng)鏈安全要求測評方法6.1組織管理6.1.1機構(gòu)管理6.1.1.1測評項a本項測評內(nèi)容包括:T/CSAC004—2024a)測評指標(biāo):應(yīng)明確軟件供應(yīng)鏈安全管理組織機構(gòu)或人員及其職責(zé)范圍,提供保障軟件供應(yīng)鏈安全所需的資源(如有關(guān)資金、場地、人力等),并在預(yù)算管理過程中予以重點考慮。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管,核查管理制度以及表單等文件。c)預(yù)期結(jié)果:具有軟件供應(yīng)鏈安全管理組織機構(gòu)、人員和職責(zé)分工以及資金支持。6.1.1.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜,定期(至少每年一次)開展軟件供應(yīng)鏈安全檢測、風(fēng)險評估等軟件供應(yīng)鏈安全風(fēng)險管理工作,包括但不限于軟件成分分析、源代碼和二進制代碼安全檢測等。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管,核查安全檢測報告,檢測軟件供應(yīng)鏈安全圖譜。c)預(yù)期結(jié)果:1)開展軟件供應(yīng)鏈安全檢測、風(fēng)險評估等軟件供應(yīng)鏈安全風(fēng)險管理工作不少于1次;2)具有軟件成分分析、源代碼和二進制代碼安全漏洞分析等至少一項安全檢測或風(fēng)險評估報3)至少具有軟件資產(chǎn)清單、軟件物料清單或軟件供應(yīng)鏈安全圖譜中的一項。6.1.1.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)及時制定、修訂、宣貫、執(zhí)行各項軟件供應(yīng)鏈安全管理制度、流程以及機制。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管,核查管理制度文件和執(zhí)行情況。c)預(yù)期結(jié)果:1)具有軟件供應(yīng)鏈安全管理制度、流程以及機制,并有宣貫記錄;2)具有執(zhí)行和修訂情況的記錄。6.1.2制度管理6.1.2.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略(可作為單獨的文件,也可作為相關(guān)文件中的一部分),至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別處置、監(jiān)督檢查等內(nèi)容。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:制度中具有軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別處置、監(jiān)督檢查等內(nèi)容。6.1.2.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險的持續(xù)監(jiān)測、風(fēng)險評估和事件響應(yīng)制度,并明確不同等級安全事件的報告、處置、響應(yīng)的流程和機制,規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)等要求。b)測評流程:核查管理制度類文件。c)預(yù)期結(jié)果:1)具有不同等級安全事件的報告、處置、響應(yīng)的流程和機制;2)具有安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)等內(nèi)容。6.1.2.3測評項cT/CSAC004—2024本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定軟件開發(fā)、交付、運維、廢止等供應(yīng)活動的安全管理制度,例如安全開發(fā)、交付部署和驗收、故障處理和維護升級等管理制度、規(guī)程或機制。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:具有軟件開發(fā)、交付、運維、廢止等供應(yīng)活動中的相關(guān)安全要求。6.1.2.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度,例如人員權(quán)限、能力、資質(zhì)、背景、技能培訓(xùn)等內(nèi)容;對于重要崗位人員(如安全測試人員、配置管理人員、漏洞管理人員等)應(yīng)明確并開展背景審查工作的要求。b)測評流程:核查人員管理制度文件。c)預(yù)期結(jié)果:1)具有人員權(quán)限、技術(shù)能力、專業(yè)資質(zhì)、安全背景、技能培訓(xùn)等要求;2)具有對采購、安全測試、配置管理、漏洞管理等人員背景審查的要求。6.1.2.5測評項e本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)制定知識產(chǎn)權(quán)管理制度,包括但不限于軟件授權(quán)證書、專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:具有對專利、軟件著作權(quán)、許可協(xié)議等制度內(nèi)容。。6.1.3人員管理6.1.3.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)明確人員需具備的軟件供應(yīng)鏈實體要素的識別和安全分析能力,例如軟件資產(chǎn)識別分析、軟件漏洞挖掘、后門檢測、訪問控制管理、完整性保護等。b)測評流程:核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果:1)具有軟件資產(chǎn)識別分析、軟件漏洞挖掘、后門檢測、訪問控制管理、完整性保護等至少一項能力要求;2)具有軟件供應(yīng)鏈實體要素的識別和安全分析能力的考核記錄。6.1.3.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)劃分人員的職責(zé)定位、權(quán)限級別,采用最小授權(quán)機制并建立操作規(guī)范,創(chuàng)建操作b)測評流程:核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果:1)劃分了軟件供應(yīng)鏈安全管理人員職責(zé)分工、權(quán)限級別;2)根據(jù)工作任務(wù)分配了最小權(quán)限;3)具有人員操作日志或記錄。T/CSAC004—20246.1.3.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)具備防范各類軟件供應(yīng)鏈安全風(fēng)險能力,如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。b)測評流程:核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果:1)具有軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等要求;2)具有防范供應(yīng)關(guān)系風(fēng)險、技術(shù)安全風(fēng)險、合規(guī)安全風(fēng)險等能力考核記錄。6.1.3.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)定期(至少每年一次)開展軟件供應(yīng)鏈安全和保密培訓(xùn),培訓(xùn)內(nèi)容包括但不限軟件供應(yīng)鏈實體要素的識別和安全分析,以及防范各類軟件供應(yīng)鏈安全風(fēng)險能力涉及的內(nèi)容。b)測評流程:訪談信息/網(wǎng)絡(luò)安全主管,核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果:1)開展了保密培訓(xùn),具有培訓(xùn)記錄;2)開展了能力培訓(xùn),內(nèi)容包含軟件供應(yīng)鏈實體要素識別或安全分析能力中至少一項;3)開展了能力培訓(xùn),內(nèi)容包含供應(yīng)關(guān)系風(fēng)險、技術(shù)安全風(fēng)險、合規(guī)安全風(fēng)險及相應(yīng)防范措施。6.1.3.5測評項e本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)建立并執(zhí)行離職離崗人員的賬號、權(quán)限、材料等交接、清理的機制和規(guī)程。b)測評流程:核查管理制度文件、記錄表單類文檔,檢測賬號權(quán)限。c)預(yù)期結(jié)果:1)具有離職人員賬號、權(quán)限、材料的交接和清理機制和規(guī)程;2)具有離職離崗人員停止其賬號及訪問權(quán)限、交還材料等記錄;3)離職人員賬號權(quán)限已不可用。6.1.4知識產(chǎn)權(quán)管理6.1.4.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)防止因知識產(chǎn)權(quán)問題導(dǎo)致的法律風(fēng)險,或具備防范相應(yīng)法律風(fēng)險的能力和機制。b)測評流程:核查管理制度文件。c)預(yù)期結(jié)果:規(guī)定專利、軟著、授權(quán)、許可證至少一項知識產(chǎn)權(quán)管理要求。6.1.4.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)充分熟悉所提供軟件的知識產(chǎn)權(quán),對知識產(chǎn)權(quán)進行規(guī)范管理,防止侵權(quán)。b)測評流程:訪談知識產(chǎn)權(quán)管理人員。c)預(yù)期結(jié)果:1)熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識產(chǎn)權(quán)使用情況;2)未發(fā)生知識產(chǎn)權(quán)侵權(quán)案件;T/CSAC004—20243)未違規(guī)使用開源組件。6.2供應(yīng)活動管理6.2.1基本流程6.2.1.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)在開展供應(yīng)活動前,以協(xié)議、合同等方式與需方建立供應(yīng)關(guān)系。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:開展供應(yīng)活動前簽訂了協(xié)議或合同。6.2.1.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)在協(xié)議、合同等文件中明確對供應(yīng)活動的安全要求,并簽署相應(yīng)的保密協(xié)議。b)測評流程:核查協(xié)議、合同。c)預(yù)期結(jié)果:1)具有軟件開發(fā)、交付、運維、廢止等至少一類安全要求;2)具有有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。。6.2.1.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)按照約定的內(nèi)容和范圍開展軟件供應(yīng)活動管理。b)測評流程:核查協(xié)議、合同執(zhí)行記錄。c)預(yù)期結(jié)果:按照軟件開發(fā)、交付、運維、廢止等的內(nèi)容和范圍開展相應(yīng)供應(yīng)活動。6.2.2軟件開發(fā)6.2.2.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)參照GB/T30998—2014第6章開展軟件開發(fā)的安全保障分析,或具備安全開發(fā)資質(zhì),例如信息安全服務(wù)資質(zhì)(安全開發(fā)類)、軟件安全開發(fā)服務(wù)資質(zhì)等。b)測評流程:核查管理制度文件、記錄表單類文件。c)預(yù)期結(jié)果:1)在軟件需求、設(shè)計、編碼、測試等階段具有安全開發(fā)規(guī)范,開展了安全保障分析,具有分析報告或記錄;2)或具有至少一類安全開發(fā)服務(wù)資質(zhì)。6.2.2.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)將軟件作為組織資產(chǎn)進行管理,制定和實施防盜版的策略和規(guī)程,開發(fā)過程中對文件、組件、開發(fā)工具等采取訪問控制、完整性保護等安全機制。b)測評流程:核查記錄表單類文件,開展完整性保護、訪問控制措施有效性檢測。c)預(yù)期結(jié)果:1)具有軟件資產(chǎn)管理制度或規(guī)定,包含防盜版的策略或規(guī)程;T/CSAC004—20242)文件、組件、開發(fā)工具的訪問控制、完整性保護措施有效可用。6.2.2.3測評項c本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)構(gòu)建軟件供應(yīng)鏈安全圖譜,記錄軟件產(chǎn)品信息、軟件物料清單、安全漏洞等信息,并保障其完備性和準(zhǔn)確性。b)測評流程:檢測軟件供應(yīng)鏈安全圖譜,核查記錄表單類文件。c)預(yù)期結(jié)果:1)建立軟件資產(chǎn)清單、軟件物料清單或軟件供應(yīng)鏈安全圖譜;2)圖譜包含GB/T43698-2024附錄D中軟件產(chǎn)品信息、軟件物料清單、安全漏洞等信息;3)具有軟件供應(yīng)鏈安全圖譜的完備性和準(zhǔn)確性的記錄。6.2.2.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)基于軟件供應(yīng)鏈安全圖譜,建立和維護可追溯性的策略和程序,記錄和保留外部組件的原始供應(yīng)方、開源社區(qū)或開發(fā)貢獻(xiàn)者等相關(guān)信息,可追溯至上游供應(yīng)商。b)測評流程:核查軟件供應(yīng)鏈安全圖譜可追溯策略或程序。c)預(yù)期結(jié)果:1)具有開源組件的上游或原始供應(yīng)方、開源社區(qū)或開發(fā)貢獻(xiàn)者等信息;2)具有第三方組件的上游或原始供應(yīng)方或開發(fā)貢獻(xiàn)者等信息;3)具有自研組件開發(fā)貢獻(xiàn)者信息;6.2.2.5測評項e本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)確定軟件的安全需求基線和防護架構(gòu),保障軟件具備安全防護、保護個人信息和重要數(shù)據(jù)不被泄露等能力。b)測評流程:核查基線配置記錄,檢測基線配置和防護措施。c)測評流程:1)具有安全基線配置記錄;2)配置中包含安全防護、保護個人信息和重要數(shù)據(jù)防泄露等內(nèi)容;3)基線配置和安全防護措施有效可用。6.2.2.6測評項f本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)承諾所使用的外部組件不存在已公開漏洞未修復(fù)的情況;對于存在已公開漏洞未修復(fù)的,應(yīng)及時修復(fù)漏洞,或采取緩解防御措施,或提供漏洞分析和處置報告。b)測評流程:核查合同或承諾書、安全檢測報告,開展軟件安全檢測。c)預(yù)期結(jié)果:1)具有開源或第三方組件不存在已知公開漏洞未修復(fù)的承諾;2)安全檢測報告中不存在已公開漏洞未修復(fù)的情況,或?qū)Υ嬖谝压_漏洞未修復(fù)的,采取了相應(yīng)緩解措施;3)開展軟件安全檢測未發(fā)現(xiàn)已公開漏洞未修復(fù)的情況。6.2.2.7測評項gT/CSAC004—2024本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)建立外部組件的使用審批機制,對來源于開放源代碼社區(qū)和第三方的代碼、組件和軟件進行完整性驗證、安全檢測和依賴關(guān)系分析,并對開源代碼進行安全評價;建立自有的開源和第三方組件庫,并標(biāo)明使用等級(如優(yōu)選、可選、限選、禁選等),保障外部組件來源可靠、安全風(fēng)險可消除或控制。b)測評流程:核查管理制度文件,檢測外部組件庫。c)預(yù)期結(jié)果:1)具有外部組件的使用審批機制;2)審批機制內(nèi)容包括完整性驗證、安全檢測評價和依賴關(guān)系分析,并具有相應(yīng)的記錄;3)具有自建的開源或第三方組件庫,具有組件推薦策略;4)組件安全檢測的漏洞、開源許可協(xié)議結(jié)果與審批過程的結(jié)果一致。6.2.2.8測評項h本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)持續(xù)跟蹤所使用的工具、外部組件的使用狀態(tài)、安全狀態(tài);對于存在安全風(fēng)險的,應(yīng)及時通報,并及時采取更新、修復(fù)等措施,完善軟件供應(yīng)鏈安全圖譜信息;對于缺乏維護或即將廢止的組件應(yīng)采取停用、廢止等處置措施。b)測評流程:訪談項目負(fù)責(zé)人,核查記錄表單類文檔,開展軟件供應(yīng)鏈安全圖譜和軟件安全檢測。c)預(yù)期結(jié)果:1)定期或按需對所使用的工具、外部組件進行安全分析;2)具有所使用的工具、外部組件的使用狀態(tài)、安全狀態(tài)分析報告或記錄;3)對于存在安全風(fēng)險、缺乏維護或?qū)⒁獜U止的工具、外部組件,具有更新、修復(fù)或停用、廢止等安全保障記錄或計劃,并同時開展或計劃對軟件供應(yīng)鏈安全圖譜更新。6.2.2.9測評項i本項測評內(nèi)容包括:a)測評指標(biāo):對于難以驗證來源的工具、外部組件,應(yīng)禁止使用;確需使用的應(yīng)醒目標(biāo)注,說明原因,通過安全檢測和風(fēng)險評估后方可使用。b)測評流程:訪談項目負(fù)責(zé)人,核查記錄表單類文檔、安全檢測報告,開展安全檢測。c)預(yù)期結(jié)果:1)沒有使用未通過完整性校驗或難以驗證來源的工具、外部組件;2)使用了難以驗證來源的工具、外部組件,并醒目標(biāo)注;3)具有2)中工具、外部組件的安全檢測分析記錄或報告,采取了安全防護措施。6.2.2.10測評項j本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)建立安全可控的軟件開發(fā)工作場所,搭建并使用專用的開發(fā)環(huán)境;涉及多個開發(fā)環(huán)境的應(yīng)進行必要的邏輯隔離。b)測評流程:訪談項目負(fù)責(zé)人、檢測開發(fā)環(huán)境、核查記錄表單類文檔。c)預(yù)期結(jié)果:1)具有安全可控的軟件開發(fā)工作場所;2)具有專用的開發(fā)環(huán)境;3)涉及多個開發(fā)環(huán)境的,進行了有效的邏輯隔離。T/CSAC004—20246.2.2.11測評項k本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)建立開發(fā)/測試工具和設(shè)備白名單,采用安全檢測、正版授權(quán)驗證、官方完整性校驗等措施進行白名單準(zhǔn)入控制,保障核心開發(fā)工具、核心組件有可替代方案或自主可控。b)測評流程:核查記錄表單類文件。c)預(yù)期結(jié)果:1)具有開發(fā)/測試工具和設(shè)備的白名單準(zhǔn)入控制機制;2)具有安全檢測、正版授權(quán)驗證、官方完整性校驗等措施和實施記錄;3)核心開發(fā)工具、核心組件具有可替代方案或自主可控。6.2.2.12測評項l本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)選擇供需雙方約定的方式開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估工作,例如源代碼安全檢測、二進制代碼安全檢測、軟件成分分析、知識產(chǎn)權(quán)分析、數(shù)據(jù)安全能力成熟度分析等。b)測評流程:核查協(xié)議、合同、安全檢測報告,開展軟件安全檢測。c)預(yù)期結(jié)果:1)具有源代碼安全檢測、二進制代碼安全檢測、軟件成分分析、知識產(chǎn)權(quán)分析、數(shù)據(jù)安全能力成熟度分析等至少一項安全檢測或風(fēng)險評估報告;2)安全檢測和風(fēng)險評估報告或記錄滿足協(xié)議、合同中的安全要求;3)經(jīng)檢測報告發(fā)現(xiàn)的問題已修復(fù),或采取了相應(yīng)的防護措施。6.2.3軟件交付6.2.3.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)確保交付軟件的真實性、準(zhǔn)確性、完整性,采取措施保護信息不被篡改和泄露,并提供所交付軟件的完整性驗證措施或方法。b)測評流程:訪談項目負(fù)責(zé)人、檢測完保護措施。c)預(yù)期結(jié)果:1)具有保障軟件真實性、準(zhǔn)確性、完整性,以及保護信息不被篡改和泄露的安全措施;2)軟件采取的完整性驗證措施或方法有效可用。6.2.3.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)按約定方式對交付軟件實行安全部署和配置,提供部署方法、安全配置基線和軟件供應(yīng)鏈安全圖譜等信息。b)測評流程:核查協(xié)議、合同和記錄表單類文件。c)預(yù)期結(jié)果:1)執(zhí)行的安全部署和配置滿足協(xié)議、合同中的安全要求;2)提供部署方法、安全配置基線和軟件供應(yīng)鏈安全圖譜。6.2.3.3測評項c本項測評內(nèi)容包括:T/CSAC004—2024a)測評指標(biāo):應(yīng)承諾所交付軟件不存在已公開漏洞未修復(fù)的情況;對于存在已公開漏洞未修復(fù)的,應(yīng)及時采取緩解措施,并提供漏洞處置報告。b)測評流程:核查承諾書或安全檢測報告,開展軟件安全檢測。c)預(yù)期結(jié)果:1)具有不存在已知高危安全漏洞未修復(fù)的承諾書;2)安全檢測報告不存在已公開高危安全漏洞;或?qū)τ诖嬖谝压_漏洞未修復(fù)的,采取了相應(yīng)緩解措施;3)或開展安全檢測未發(fā)現(xiàn)已公開高危安全漏洞,或者對檢測發(fā)現(xiàn)的已公開高危安全漏洞采取了相應(yīng)緩解措施。6.2.3.4測評項d本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)配合開展所交付軟件的功能、性能、完整性及安全性等驗收測試并對軟件進行數(shù)字簽名,開展包括但不限于供應(yīng)關(guān)系、供應(yīng)活動的安全檢測和風(fēng)險評估,以及可持續(xù)供應(yīng)能力、安全漏洞等安全檢測和風(fēng)險評估,確保符合約定的安全要求。b)測評流程:核查安全檢測報告、記錄表單類文檔和協(xié)議、合同。c)預(yù)期結(jié)果:1)具有交付軟件的功能、性能、完整性驗收報告或記錄;2)交付軟件進行了數(shù)字簽名;3)開展了供應(yīng)關(guān)系、供應(yīng)活動的安全檢測和風(fēng)險評估以及可持續(xù)供應(yīng)能力、安全漏洞等的記錄或報告;4)滿足協(xié)議、合同中的安全要求。6.2.3.5測評項e本項測評內(nèi)容包括:a)測評指標(biāo):對于所交付軟件,應(yīng)禁止交付約定范圍外的內(nèi)容,如開啟無關(guān)功能、捆綁無關(guān)軟件等,并承諾不在軟件中設(shè)置后門,或利用軟件的便利條件非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備,不會利用軟件的依賴性謀取不正當(dāng)利益,不在未授權(quán)情況下對軟件進行升級或更新?lián)Q代;對于約定的遠(yuǎn)程訪問控制措施,應(yīng)采取必要技術(shù)手段和管理措施確保遠(yuǎn)程控制過程的安全性。b)測評流程:訪談項目負(fù)責(zé)人,核查協(xié)議、合同和記錄表單類文檔。c)預(yù)期結(jié)果:1)所交付軟件不存在開啟無關(guān)功能,捆綁無關(guān)軟件的現(xiàn)象;2)承諾了不在軟件中設(shè)置后門,或利用軟件的便利條件非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備,不會利用軟件的依賴性謀取不正當(dāng)利益,不在未授權(quán)情況下對軟件進行升級或更新?lián)Q代;3)采取了必要技術(shù)手段和管理措施確保遠(yuǎn)程訪問控制的安全性。6.2.3.6測評項f本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)及時提供交付環(huán)節(jié)變化的通報,以及相關(guān)的交付途徑安全性分析報告,并對可能造成嚴(yán)重后果的變化,快速采取補救措施。b)測評流程:訪談項目負(fù)責(zé)人,核查記錄表單類文件。c)預(yù)期結(jié)果:T/CSAC004—20241)涉及交付環(huán)節(jié)變化的,具有變更的通報和記錄;2)具有交付途徑的安全分析記錄或報告。6.2.3.7測評項g本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)交付需方購買軟件的使用授權(quán),例如許可證、產(chǎn)品序列號、許可協(xié)議等。b)測評流程:核查授權(quán)、記錄表單類文件。c)預(yù)期結(jié)果:交付了許可證、序列號等授權(quán)文件。6.2.3.8測評項h本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)保障所交付軟件使用的外部組件獲取途徑安全性、自身安全性、組件可持續(xù)服務(wù)等,提供與軟件一致的質(zhì)量、安全、服務(wù)承諾,并按照協(xié)議提供承諾、說明、認(rèn)證證明、分析報告、資質(zhì)證明等相關(guān)材料。b)測評流程:核查安全檢測報告、記錄表單類文檔和協(xié)議、合同。c)預(yù)期結(jié)果:1)對外部組件的獲取途徑、自身安全和可持續(xù)供應(yīng)等進行了安全分析;2)對外部組件提供的承諾、說明、認(rèn)證證明、分析報告、資質(zhì)證明等相關(guān)材料符合協(xié)議、合同要求。6.2.3.9測評項i本項測評內(nèi)容包括:a)測評指標(biāo):對于定制研發(fā)軟件,應(yīng)交付包括但不限于軟件源代碼,中文版運行維護、二次開發(fā)、軟件使用的場景和條件、權(quán)限和授權(quán)機制,以及軟件使用說明書、技術(shù)分析報告等技術(shù)資料。b)測評流程:核查軟件代碼和上述文件。c)預(yù)期結(jié)果:交付了軟件源代碼,中文版運行維護、二次開發(fā)、軟件使用的場景和條件、權(quán)限和授權(quán)機制,以及軟件使用說明書、技術(shù)分析報告等。6.2.3.10測評項j本項測評內(nèi)容包括:a)測評指標(biāo):對于定制研發(fā)或者自主研制軟件,應(yīng)妥善保管i)中的內(nèi)容,并依據(jù)相關(guān)規(guī)定或合同文件,不將軟件全部或部分泄露到授權(quán)以外的范圍,并簽署保密協(xié)議。b)測評流程:核查保障措施、協(xié)議、合同。c)預(yù)期結(jié)果:1)合同或保障措施中約定了軟件授權(quán)和使用范圍;2)合同、協(xié)議中規(guī)定了保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等6.2.3.11測評項k本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)對軟件分包、集成等工作的安全負(fù)責(zé)。b)測評流程:訪談項目負(fù)責(zé)人,核查協(xié)議、合同。c)預(yù)期結(jié)果:涉及分包、集成的,協(xié)議、合同中包括對軟件分包、集成等工作的安全負(fù)責(zé)條款。T/CSAC004—20246.2.3.12測評項l本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)開展全面的軟件供應(yīng)鏈安全檢測,例如源代碼安全檢測、二進制代碼安全檢測和容器鏡像安全檢測等,緩解或消除軟件供應(yīng)鏈安全風(fēng)險。b)測評流程:核查安全檢測報告,開展安全檢測。c)預(yù)期結(jié)果:1)具有源代碼安全檢測、二進制代碼安全檢測和容器鏡像安全檢測等的至少一項安全檢測報告,并修復(fù)了發(fā)現(xiàn)的高危安全風(fēng)險;2)開展軟件源代碼、二進制代碼或容器鏡像安全檢測,對發(fā)現(xiàn)的高危安全漏洞、開源許可協(xié)議采取了消控措施。6.2.4軟件運維6.2.4.1測評項a本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)確保軟件在授權(quán)期內(nèi)持續(xù)穩(wěn)定可用,保障軟件完整性和訪問控制策略正常。b)測評流程:檢測授權(quán)文件、軟件完整性、訪問控制策略,核查軟件運維記錄。c)預(yù)期結(jié)果:1)授權(quán)文件有效,更新包、補丁包通過完整性驗證;2)訪問控制策略有效可用。6.2.4.2測評項b本項測評內(nèi)容包括:a)測評指標(biāo):應(yīng)協(xié)調(diào)軟件原廠、供應(yīng)商、集成商等共同開展軟件運維工作。b)測評流程:訪談項目負(fù)責(zé)人,核查記錄表單文件。c)預(yù)期結(jié)果:1)能夠協(xié)調(diào)軟件原廠
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年檢驗服務(wù)合作協(xié)議模板一
- 2024年度建筑人才租賃借調(diào)與項目管理合同2篇
- 2024年度園林景觀農(nóng)民工勞務(wù)雇傭合同2篇
- 2024年危險廢物運輸安全風(fēng)險評估與應(yīng)急預(yù)案合同3篇
- 2024年度高空作業(yè)塔吊司機安全操作勞動合同3篇
- 2024年激光投影儀技術(shù)轉(zhuǎn)讓協(xié)議3篇
- 2024年民間貸款居間業(yè)務(wù)標(biāo)準(zhǔn)協(xié)議書版B版
- 2024年版貨物倉單融資質(zhì)押協(xié)議
- 2024年版建筑工程承攬協(xié)議標(biāo)準(zhǔn)模板版
- 智利釀酒課程設(shè)計
- 2024-2025學(xué)年上學(xué)期廣州小學(xué)語文五年級期末模擬試卷
- 2024年標(biāo)準(zhǔn)化食堂食材采購綜合協(xié)議范本版
- 《西方經(jīng)濟學(xué)(本)》形考任務(wù)(1-6)試題答案解析
- 不良行為學(xué)生教育轉(zhuǎn)化工作實施方案(五篇)
- 校園招聘策劃方案
- 護理學(xué)專業(yè)大學(xué)生職業(yè)規(guī)劃書
- 北師大版五年級上冊數(shù)學(xué)期末測試卷及答案共5套
- ??谱o理質(zhì)量監(jiān)測指標(biāo)
- 兒童社區(qū)獲得性肺炎管理指南(2024修訂)解讀
- 創(chuàng)意與創(chuàng)新:大腦永動機(2023下)學(xué)習(xí)通超星期末考試答案章節(jié)答案2024年
- 《人體解剖與組織胚胎學(xué)》學(xué)習(xí)通超星期末考試答案章節(jié)答案2024年
評論
0/150
提交評論