T-CSAC 004-2024 軟件供應(yīng)鏈安全要求測(cè)評(píng)方法

ICS35.240.01CCSL78T/CSACTestingandevaluatingmethodforsoftwaresupplychainIT/CSAC004—2024 2規(guī)范性引用文件 3術(shù)語和定義 4概述 4.1測(cè)評(píng)指標(biāo) 4.2測(cè)評(píng)對(duì)象 4.3測(cè)評(píng)方法 4.4測(cè)評(píng)結(jié)果 4.5測(cè)評(píng)流程 4.6測(cè)評(píng)結(jié)論 5需方軟件供應(yīng)鏈安全要求測(cè)評(píng)方法 5.1組織管理 5.1.1機(jī)構(gòu)管理 5.1.2制度管理 5.1.3人員管理 5.1.4供應(yīng)商管理 5.1.5知識(shí)產(chǎn)權(quán)管理 5.2供應(yīng)活動(dòng)管理 5.2.1基本流程 5.2.2軟件采購(gòu) 5.2.3軟件獲取 5.2.4軟件運(yùn)維 5.2.5軟件廢止 6供方軟件供應(yīng)鏈安全要求測(cè)評(píng)方法 6.1組織管理 6.1.1機(jī)構(gòu)管理 6.1.2制度管理 6.1.3人員管理 6.1.4知識(shí)產(chǎn)權(quán)管理 6.2供應(yīng)活動(dòng)管理 6.2.1基本流程 6.2.2軟件開發(fā) 6.2.3軟件交付 6.2.4軟件運(yùn)維 6.2.5軟件廢止 T/CSAC004—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)提出。本文件由中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)歸口。本文件起草單位：中國(guó)信息安全測(cè)評(píng)中心、工業(yè)和信息化部第五研究所、京東科技信息技術(shù)有限公司、統(tǒng)信軟件技術(shù)有限公司、麒麟軟件有限公司、深圳市金蝶天燕云計(jì)算股份有限公司、蘇州棱鏡七彩信息科技有限公司、中移（杭州）信息技術(shù)有限公司、沈陽東軟系統(tǒng)集成工程有限公司、北京數(shù)字認(rèn)證股份有限公司、三六零數(shù)字安全科技集團(tuán)有限公司、中孚安全技術(shù)有限公司、拓爾思信息技術(shù)股份有限公司、杭州網(wǎng)易智企科技有限公司、南京南瑞信息通信科技有限公司、北京航空航天大學(xué)。本文件主要起草人：王曉萌、邵帥、崔靜、高松、柴思躍、張磊、顧欣、廖晗、崔欣、劉芬芬、鄭偉娜、唐洪山、林琳、李偉彬、梁大功、黃浩東、徐倩華、蔡倩楠、楊萬祿、馬榿、庹鑫、賈彥生、沈天翔、劉中、肖若楠、李娜、耿貴寧、張浩、馬奧、王洪俊、朱浩奇、李雨珂、潘恒、徐文耀、關(guān)振宇、李大偉。1T/CSAC004—2024軟件供應(yīng)鏈安全要求測(cè)評(píng)方法本文件確定了供需雙方組織管理和供應(yīng)活動(dòng)管理安全要求的測(cè)評(píng)指標(biāo)、測(cè)評(píng)對(duì)象和測(cè)評(píng)流程。本文件適用于指導(dǎo)軟件供應(yīng)鏈中的供需雙方開展軟件供應(yīng)鏈安全測(cè)評(píng)，可為第三方機(jī)構(gòu)提供測(cè)評(píng)依據(jù)，也可為主管監(jiān)管部門提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語GB/T43698—2024網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求3術(shù)語和定義GB/T25069—2022和GB/T43698—2024中界定的以及下列術(shù)語和定義適用于本文件。3.1供應(yīng)關(guān)系supplierrelation需方和供方之間為開展業(yè)務(wù)、提供軟件產(chǎn)品而建立的協(xié)議、合同等契約關(guān)系。[來源：GB/T43698-2024,3.5]3.2供應(yīng)活動(dòng)supplyactivity需方和供方為維持日常生產(chǎn)基于供應(yīng)關(guān)系進(jìn)行的軟件采購(gòu)、開發(fā)、獲取、交付、運(yùn)維、廢止等活動(dòng)的總稱。[來源：GB/T43698-2024,3.6]3.3軟件供應(yīng)鏈softwaresupplychain需方和供方基于供應(yīng)關(guān)系，開展并完成軟件采購(gòu)、開發(fā)、交付、獲取、運(yùn)維和廢止等供應(yīng)活動(dòng)而形成的網(wǎng)鏈結(jié)構(gòu)。[來源：GB/T43698-2024,3.7]3.4軟件供應(yīng)鏈安全圖譜softwaresupplychainsecuritygraph2T/CSAC004—2024軟件產(chǎn)品信息、軟件物料清單、安全信息等內(nèi)容及其關(guān)聯(lián)關(guān)系的描述和表示。[來源：GB/T43698-2024,3.9]4概述4.1測(cè)評(píng)指標(biāo)GB/T43698-2024中供需雙方組織管理和供應(yīng)活動(dòng)管理的每條安全要求。4.2測(cè)評(píng)對(duì)象測(cè)評(píng)指標(biāo)涉及的人員、機(jī)構(gòu)、制度、文件、軟件產(chǎn)品等。4.3測(cè)評(píng)方法測(cè)評(píng)方法主要包括以下三種：a)訪談：測(cè)評(píng)人員通過引導(dǎo)軟件供應(yīng)鏈安全保護(hù)能力測(cè)評(píng)相關(guān)人員進(jìn)行有目的的交流，幫助測(cè)評(píng)人員理解、澄清或取得證據(jù)，從而判定是否滿足指標(biāo)要求；b)核查：測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)象，如制度、文件、軟件產(chǎn)品等進(jìn)行觀察、查驗(yàn)和分析、幫助測(cè)評(píng)人員理解、澄清或取得證據(jù)，從而判定是否滿足指標(biāo)要求；c)檢測(cè)：測(cè)評(píng)人員使用完整性校驗(yàn)、訪問控制分析、源代碼安全缺陷檢測(cè)、二進(jìn)制代碼漏洞分析以及軟件成分分析等技術(shù)使測(cè)評(píng)對(duì)象產(chǎn)生特定的結(jié)果，通過結(jié)果與預(yù)期結(jié)果比對(duì)，從而判定是否滿足測(cè)評(píng)指標(biāo)要求。4.4測(cè)評(píng)結(jié)果測(cè)評(píng)結(jié)果包括：a)完全符合：通過對(duì)測(cè)評(píng)對(duì)象的訪談、核查或檢測(cè)，滿足所有預(yù)期結(jié)果；b)部分符合：通過對(duì)測(cè)評(píng)對(duì)象的訪談、核查或檢測(cè)，滿足部分預(yù)期結(jié)果；c)不符合：通過對(duì)測(cè)評(píng)對(duì)象的訪談、核查或檢測(cè)，不滿足任何預(yù)期結(jié)果；d)不涉及：與測(cè)評(píng)指標(biāo)的所有內(nèi)容不相關(guān)。4.5測(cè)評(píng)流程采用測(cè)評(píng)方法對(duì)測(cè)評(píng)對(duì)象實(shí)施訪談、核查或檢測(cè)并給出測(cè)評(píng)結(jié)果的過程。4.6測(cè)評(píng)結(jié)論參考GB/T43698-2024附錄D對(duì)軟件供應(yīng)鏈安全圖譜級(jí)別的劃分，匯總測(cè)評(píng)結(jié)果給出如下測(cè)評(píng)結(jié)論：a)軟件供應(yīng)鏈安全保障能力達(dá)到基礎(chǔ)級(jí)：組織管理和供應(yīng)活動(dòng)安全要求完全符合及部分符合項(xiàng)數(shù)不少于測(cè)評(píng)總項(xiàng)數(shù)的80%，軟件供應(yīng)鏈安全圖譜符合基礎(chǔ)級(jí)圖譜要求；b)軟件供應(yīng)鏈安全保障能力達(dá)到通用級(jí)：組織管理和供應(yīng)活動(dòng)安全要求完全符合及部分符合項(xiàng)數(shù)不少于測(cè)評(píng)總項(xiàng)數(shù)的80%，軟件供應(yīng)鏈安全圖譜符合通用級(jí)要求；c)軟件供應(yīng)鏈安全保障能力達(dá)到增強(qiáng)級(jí)：組織管理和供應(yīng)活動(dòng)安全要求完全符合及部分符合項(xiàng)數(shù)不少于測(cè)評(píng)總項(xiàng)數(shù)的80%，軟件供應(yīng)鏈安全圖譜符合增強(qiáng)級(jí)要求。5需方軟件供應(yīng)鏈安全要求測(cè)評(píng)方法3T/CSAC004—20245.1組織管理5.1.1機(jī)構(gòu)管理5.1.1.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)明確軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)或人員及其職責(zé)范圍，提供保障軟件供應(yīng)鏈安全所需的資源（如有關(guān)資金、場(chǎng)地、人力等），并在預(yù)算管理過程中予以重點(diǎn)考慮。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度以及表單等文件；c)預(yù)期結(jié)果：具有軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)、人員和職責(zé)分工以及資金支持。5.1.1.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜，定期（至少每年一次）開展軟件供應(yīng)鏈安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估等軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理工作，包括但不限于軟件成分分析、源代碼和二進(jìn)制代碼安全漏洞分析等。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管，核查安全檢測(cè)報(bào)告，檢測(cè)軟件供應(yīng)鏈安全圖譜。c)預(yù)期結(jié)果：1)開展軟件供應(yīng)鏈安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估等軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理工作不少于1次；2)具有軟件成分分析、源代碼和二進(jìn)制代碼安全漏洞分析等至少一項(xiàng)安全檢測(cè)或風(fēng)險(xiǎn)評(píng)估報(bào)3)至少具有軟件資產(chǎn)清單、軟件物料清單或軟件供應(yīng)鏈安全圖譜中的一項(xiàng)。5.1.1.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)及時(shí)制定、修訂、宣貫、執(zhí)行各項(xiàng)軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度文件和執(zhí)行情況。c)預(yù)期結(jié)果：1)具有軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制，并有宣貫記錄；2)具有執(zhí)行和修訂情況的記錄。5.1.1.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：對(duì)于重要或核心業(yè)務(wù)場(chǎng)景，宜設(shè)立專職軟件供應(yīng)鏈管理機(jī)構(gòu)開展軟件供應(yīng)鏈安全管理工作。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管、核查管理制度文件。c)預(yù)期結(jié)果：1)設(shè)立專職軟件供應(yīng)鏈管理機(jī)構(gòu)；2)對(duì)組織機(jī)構(gòu)和人員有明確的職責(zé)劃分。5.1.2制度管理5.1.2.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：4T/CSAC004—2024a)測(cè)評(píng)指標(biāo)：應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略（可作為單獨(dú)的文件，也可作為相關(guān)文件中的一部分），至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別處置、監(jiān)督檢查等內(nèi)容。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：制度中具有軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別處置、監(jiān)督檢查等內(nèi)容。5.1.2.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險(xiǎn)持續(xù)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估和事件響應(yīng)制度，明確不同等級(jí)安全事件的報(bào)告、處置、響應(yīng)的流程和機(jī)制，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)等要求。b)測(cè)評(píng)流程：核查管理制度類文件。c)預(yù)期結(jié)果：1)具有不同等級(jí)安全事件的報(bào)告、處置、響應(yīng)的流程和機(jī)制；2)具有安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)等內(nèi)容。5.1.2.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定軟件采購(gòu)、獲取、運(yùn)維、廢止等供應(yīng)活動(dòng)安全管理制度，例如安全開發(fā)、交付部署和驗(yàn)收、故障處理和維護(hù)升級(jí)等管理制度、規(guī)程或機(jī)制。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：具有軟件采購(gòu)、獲取、運(yùn)維、廢止等供應(yīng)活動(dòng)中的相關(guān)安全要求。5.1.2.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度，例如人員權(quán)限、能力、資質(zhì)、背景、技能培訓(xùn)等；對(duì)于重要崗位人員（如采購(gòu)人員、安全測(cè)試人員、配置管理人員、漏洞管理人員等）應(yīng)明確并開展背景審查工作的要求。b)測(cè)評(píng)流程：核查人員管理制度文件。c)預(yù)期結(jié)果：1)具有人員權(quán)限、技術(shù)能力、專業(yè)資質(zhì)、安全背景、技能培訓(xùn)等要求；2)具有對(duì)采購(gòu)、安全測(cè)試、配置管理、漏洞管理等人員背景審查的要求。5.1.2.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定供應(yīng)商管理制度，包括但不限于供應(yīng)商資質(zhì)審核、供應(yīng)商分類分級(jí)、供應(yīng)商不良行為處理等。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：具有供應(yīng)商資質(zhì)審核、供應(yīng)商分類分級(jí)、供應(yīng)商不良行為處理等內(nèi)容。5.1.2.6測(cè)評(píng)項(xiàng)f本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定知識(shí)產(chǎn)權(quán)管理制度，包括但不限于軟件授權(quán)證書、專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。b)測(cè)評(píng)流程：核查管理制度文件。5T/CSAC004—2024c)預(yù)期結(jié)果：具有對(duì)專利、軟件著作權(quán)、許可協(xié)議等制度內(nèi)容。5.1.3人員管理5.1.3.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)明確人員需具備的軟件供應(yīng)鏈實(shí)體要素的識(shí)別和安全分析能力，如軟件資產(chǎn)識(shí)別分析、軟件漏洞挖掘、后門檢測(cè)、訪問控制管理、完整性保護(hù)等。b)測(cè)評(píng)流程：核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果：1)具有軟件資產(chǎn)識(shí)別分析、軟件漏洞挖掘、后門檢測(cè)、訪問控制管理、完整性保護(hù)等至少一項(xiàng)能力要求；2)具有軟件供應(yīng)鏈實(shí)體要素的識(shí)別和安全分析能力的考核記錄。5.1.3.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)劃分人員的職責(zé)定位、權(quán)限級(jí)別，采用最小授權(quán)機(jī)制并建立操作規(guī)范，創(chuàng)建操作b)測(cè)評(píng)流程：核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果：1)劃分了軟件供應(yīng)鏈安全管理人員職責(zé)分工、權(quán)限級(jí)別；2)根據(jù)工作任務(wù)分配了最小權(quán)限；3)具有人員操作日志或記錄。5.1.3.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)定期（至少每年一次）開展軟件供應(yīng)鏈安全和保密培訓(xùn)，培訓(xùn)內(nèi)容包括但不限軟件供應(yīng)鏈實(shí)體要素的識(shí)別和安全分析能力涉及的內(nèi)容。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果：1)開展了保密培訓(xùn)，具有培訓(xùn)記錄，并記錄了培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等描述；2)培訓(xùn)內(nèi)容包含軟件供應(yīng)鏈實(shí)體要素識(shí)別或安全分析能力中至少一項(xiàng)。5.1.3.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)建立并執(zhí)行離職離崗人員賬號(hào)、權(quán)限、材料的交接和清理機(jī)制和規(guī)程。b)測(cè)評(píng)流程：核查管理制度文件、記錄表單類文檔，檢測(cè)賬號(hào)權(quán)限。c)預(yù)期結(jié)果：1)具有離職人員賬號(hào)、權(quán)限、材料的交接和清理機(jī)制和規(guī)程；2)具有離職離崗人員停止其賬號(hào)及訪問權(quán)限、交還材料等記錄；3)離職人員賬號(hào)權(quán)限已不可用。5.1.3.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：6T/CSAC004—2024a)測(cè)評(píng)指標(biāo)：對(duì)于核心業(yè)務(wù)場(chǎng)景，宜配置軟件供應(yīng)鏈安全保障團(tuán)隊(duì)，并根據(jù)需要開展相關(guān)人員的背景調(diào)查。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管，核查記錄表單類文檔。c)預(yù)期結(jié)果：1)具有軟件供應(yīng)鏈安全保障團(tuán)隊(duì)；2)具有開展人員背景調(diào)查的內(nèi)容、結(jié)果的記錄。5.1.3.6測(cè)評(píng)項(xiàng)f本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：對(duì)于核心業(yè)務(wù)場(chǎng)景，宜具備防范各類軟件供應(yīng)鏈安全風(fēng)險(xiǎn)能力，例如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管。c)預(yù)期結(jié)果：具有軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析能力中至少一項(xiàng)。5.1.4供應(yīng)商管理5.1.4.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)分類分級(jí)建立合格的供應(yīng)目錄，對(duì)供應(yīng)目錄及相關(guān)信息進(jìn)行集中管理，并定期或按照實(shí)際需求進(jìn)行更新維護(hù)。b)測(cè)評(píng)流程：核查管理制度文件、記錄表單類文檔。c)預(yù)期結(jié)果：1)具有供應(yīng)目錄以及供應(yīng)商評(píng)價(jià)指標(biāo)、評(píng)價(jià)方法、評(píng)價(jià)流程等制度；2)具有開展供應(yīng)商評(píng)價(jià)或供應(yīng)商分類分級(jí)的記錄；3)具有定期或按照實(shí)際需求更新維護(hù)供應(yīng)目錄的記錄。5.1.4.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)優(yōu)先選擇供應(yīng)目錄中滿足條件的供應(yīng)商。b)測(cè)評(píng)流程：核查管理制度類文件、記錄表單文件。c)預(yù)期結(jié)果：規(guī)定優(yōu)先選擇供應(yīng)目錄中滿足條件的供應(yīng)商。5.1.4.3測(cè)評(píng)項(xiàng)ca)測(cè)評(píng)指標(biāo)：根據(jù)軟件供應(yīng)鏈中供應(yīng)關(guān)系、供應(yīng)活動(dòng)的不同，供應(yīng)商應(yīng)符合供應(yīng)活動(dòng)安全要求。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：具有軟件開發(fā)、軟件交付、軟件運(yùn)維和軟件廢止中至少一項(xiàng)制度內(nèi)容。5.1.4.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定供應(yīng)商選擇策略和制度，對(duì)供應(yīng)商進(jìn)行風(fēng)險(xiǎn)分析，包括但不限于背景、資質(zhì)、能力以及能否持續(xù)安全提供產(chǎn)品或服務(wù)等方面的風(fēng)險(xiǎn)。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：1)具有供應(yīng)商選擇策略或機(jī)制；7T/CSAC004—20242)具有背景、資質(zhì)、能力等評(píng)估的要求和記錄。5.1.4.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)要求供方開展軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估工作，明確相關(guān)內(nèi)容和范圍；確需第三方機(jī)構(gòu)的，應(yīng)明確對(duì)第三方機(jī)構(gòu)的能力、資質(zhì)等要求。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：1)具有供方開展軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估工作的要求；2)要求第三方機(jī)構(gòu)對(duì)供方開展軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估工作，并明確能力、資質(zhì)要求。5.1.4.6測(cè)評(píng)項(xiàng)f本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)要求供方配合相關(guān)部門開展軟件供應(yīng)鏈安全審查、監(jiān)督和檢查。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：具有供方配合相關(guān)部門開展軟件供應(yīng)鏈安全審查、監(jiān)督和檢查的要求。5.1.4.7測(cè)評(píng)項(xiàng)g本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)在供應(yīng)關(guān)系、供應(yīng)商股權(quán)等信息發(fā)生變更時(shí)，對(duì)變更帶來的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并采取相應(yīng)的風(fēng)險(xiǎn)控制措施。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：規(guī)定了在供應(yīng)關(guān)系、供應(yīng)商股權(quán)等信息發(fā)生變更時(shí)，對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估并采取相應(yīng)的風(fēng)險(xiǎn)控制措施。5.1.4.8測(cè)評(píng)項(xiàng)h本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)建立供應(yīng)商替代方案或具備相應(yīng)軟件的自主維護(hù)能力，防范軟件供應(yīng)鏈中斷風(fēng)險(xiǎn)。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：規(guī)定了建立供應(yīng)商替代方案或具備相應(yīng)軟件的自主維護(hù)能力的要求。5.1.5知識(shí)產(chǎn)權(quán)管理5.1.5.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)防止因知識(shí)產(chǎn)權(quán)問題導(dǎo)致的法律風(fēng)險(xiǎn)，或具備防范相應(yīng)法律風(fēng)險(xiǎn)的能力和機(jī)制。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：規(guī)定專利、軟著、授權(quán)、許可證至少一項(xiàng)知識(shí)產(chǎn)權(quán)管理要求。5.1.5.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)充分熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識(shí)產(chǎn)權(quán)，對(duì)知識(shí)產(chǎn)權(quán)進(jìn)行規(guī)范管理，防止侵權(quán)。b)測(cè)評(píng)流程：訪談知識(shí)產(chǎn)權(quán)管理人員。8T/CSAC004—2024c)預(yù)期結(jié)果：1）熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識(shí)產(chǎn)權(quán)使用情況；2）未發(fā)生專利侵權(quán)案件；3）未違規(guī)使用開源組件。5.1.5.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：在核心業(yè)務(wù)場(chǎng)景中，宜對(duì)所使用的軟件產(chǎn)品或服務(wù)相關(guān)的國(guó)內(nèi)外知識(shí)產(chǎn)權(quán)情況進(jìn)行詳細(xì)識(shí)別分析，建立相關(guān)知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)的應(yīng)對(duì)方案。b)測(cè)評(píng)流程：核查管理制度文件、記錄文件。c)預(yù)期結(jié)果：1）具有對(duì)所使用的軟件的知識(shí)產(chǎn)權(quán)情況進(jìn)行詳細(xì)識(shí)別分析的要求；2）具有知識(shí)產(chǎn)權(quán)識(shí)別分析的記錄；3）建立了知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)的應(yīng)對(duì)方案。5.2供應(yīng)活動(dòng)管理5.2.1基本流程5.2.1.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)在開展供應(yīng)活動(dòng)前，以協(xié)議、合同等方式與供方建立供應(yīng)關(guān)系。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：開展供應(yīng)活動(dòng)前簽訂了協(xié)議或合同。5.2.1.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)在協(xié)議、合同等文件中明確對(duì)供應(yīng)活動(dòng)的安全要求，并簽署相應(yīng)的保密協(xié)議。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：1)具有軟件采購(gòu)、獲取、運(yùn)維、廢止等至少一類安全要求；2)具有有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。5.2.1.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)按照約定的內(nèi)容和范圍開展軟件供應(yīng)活動(dòng)管理。b)測(cè)評(píng)流程：核查協(xié)議、合同執(zhí)行記錄。c)預(yù)期結(jié)果：按照軟件采購(gòu)、獲取、運(yùn)維、廢止等的內(nèi)容和范圍開展相應(yīng)供應(yīng)活動(dòng)。5.2.2軟件采購(gòu)5.2.2.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)邀請(qǐng)軟件供應(yīng)鏈安全、網(wǎng)絡(luò)空間安全等領(lǐng)域?qū)＜遥ɑ蚓邆湎鄳?yīng)網(wǎng)絡(luò)空間安全能力的評(píng)標(biāo)人員）參與招標(biāo)采購(gòu)過程。9T/CSAC004—2024b)測(cè)評(píng)流程：核查記錄表單類文件。c)預(yù)期結(jié)果：評(píng)標(biāo)人員中包含至少一位軟件供應(yīng)鏈安全、網(wǎng)絡(luò)空間安全等領(lǐng)域?qū)＜摇?.2.2.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)結(jié)合軟件應(yīng)用的實(shí)際業(yè)務(wù)場(chǎng)景，明確對(duì)軟件供應(yīng)鏈安全圖譜的要求；需要供方提供軟件供應(yīng)鏈安全圖譜的應(yīng)明確圖譜的內(nèi)容，如安全圖譜的等級(jí)、可追溯層級(jí)等。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：1)具有軟件供應(yīng)鏈安全圖譜中軟件產(chǎn)品信息、軟件物料清單或安全信息中至少一項(xiàng)要求；2)規(guī)定了安全圖譜的等級(jí)、可追溯層級(jí)等內(nèi)容。5.2.2.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)根據(jù)國(guó)家和行業(yè)已發(fā)布標(biāo)準(zhǔn)以及自身業(yè)務(wù)要求制定軟件的安全需求基線和防護(hù)架構(gòu)，如軟件應(yīng)具備的安全防護(hù)能力、保護(hù)個(gè)人信息和重要數(shù)據(jù)等不被泄露的能力。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：明確了軟件應(yīng)具備的安全防護(hù)能力、防止個(gè)人信息和重要數(shù)據(jù)泄漏的能力需求。5.2.2.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)確定所采購(gòu)軟件的授權(quán)使用期限及相應(yīng)的技術(shù)協(xié)助要求，在授權(quán)方式可選的條件下，明確軟件的激活、授權(quán)需求，優(yōu)先選擇離線永久激活模式，其次是完全在國(guó)內(nèi)線上永久激活，再次是完全在國(guó)內(nèi)實(shí)現(xiàn)的周期性線上激活、國(guó)外線上激活（永久或周期性）。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：明確了所采購(gòu)軟件的授權(quán)方式、使用期限、技術(shù)協(xié)助要求。5.2.2.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定從多個(gè)源廠商獲得兼容的產(chǎn)品和服務(wù)的方案，確保軟件來源的多樣性。對(duì)于單一來源的軟件，應(yīng)制定風(fēng)險(xiǎn)消減措施。b)測(cè)評(píng)流程：核查記錄表單類文檔。c)預(yù)期結(jié)果：1)具備從多個(gè)源廠商獲得兼容的產(chǎn)品和服務(wù)的方案；2)具有單一來源軟件的風(fēng)險(xiǎn)消減措施。5.2.2.6測(cè)評(píng)項(xiàng)f本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：對(duì)于定制研發(fā)軟件，應(yīng)要求供方具備安全開發(fā)相關(guān)資質(zhì)或建立安全開發(fā)規(guī)范，建立和維護(hù)安全的開發(fā)環(huán)境、建立工具和設(shè)備的安全管理和準(zhǔn)入控制等。b)測(cè)評(píng)流程：核查協(xié)議、合同，訪談建設(shè)負(fù)責(zé)人。c)預(yù)期結(jié)果：1)規(guī)定了供方需具備安全開發(fā)相關(guān)資質(zhì)或建立安全開發(fā)規(guī)范的要求；T/CSAC004—20242)要求供方建立和維護(hù)安全的開發(fā)環(huán)境；3)要求供方建立和維護(hù)工具、設(shè)備的安全管理和準(zhǔn)入控制策略。5.2.2.7測(cè)評(píng)項(xiàng)g本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)要求供方提供驗(yàn)證產(chǎn)品是否來自原廠商且獲得許可的途徑或方法。b)測(cè)評(píng)流程：核查記錄表單類文檔。c)預(yù)期結(jié)果：具有對(duì)供方提供驗(yàn)證產(chǎn)品來自原廠商且獲得許可的途徑或方法的要求。5.2.2.8測(cè)評(píng)項(xiàng)h本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)明確對(duì)運(yùn)維技術(shù)團(tuán)隊(duì)及相應(yīng)技術(shù)能力的要求，包括但不限于風(fēng)險(xiǎn)監(jiān)測(cè)識(shí)別、漏洞修復(fù)、完整性保護(hù)、安全測(cè)試等。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：對(duì)運(yùn)維技術(shù)團(tuán)隊(duì)提出了風(fēng)險(xiǎn)監(jiān)測(cè)識(shí)別、漏洞修復(fù)、完整性保護(hù)、安全測(cè)試等至少一項(xiàng)能力要求。5.2.2.9測(cè)評(píng)項(xiàng)i本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)要求軟件開發(fā)、交付、部署、測(cè)試等工具和設(shè)備具備可操作的替代方案。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：具有軟件開發(fā)、交付、部署、測(cè)試等工具和設(shè)備具備可操作的替代方案的要求。5.2.2.10測(cè)評(píng)項(xiàng)j本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)考慮政治、外交、貿(mào)易、自然災(zāi)害、公共安全事件等不可抗力導(dǎo)致供應(yīng)中斷時(shí)的可替代策略。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)測(cè)評(píng)流程：具有不可抗力導(dǎo)致供應(yīng)中斷時(shí)供方提供可替代策略的要求。5.2.2.11測(cè)評(píng)項(xiàng)k本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)明確軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估的范圍，例如軟件資產(chǎn)識(shí)別、源代碼和二進(jìn)制代碼安全漏洞分析、軟件成分分析等；涉及第三方機(jī)構(gòu)的應(yīng)明確第三方機(jī)構(gòu)的資質(zhì)能力。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：1)具有軟件資產(chǎn)識(shí)別、源代碼或二進(jìn)制代碼安全漏洞分析以及軟件成分分析等至少一項(xiàng)要求；2)涉及第三方機(jī)構(gòu)的，對(duì)第三方機(jī)構(gòu)的資質(zhì)能力提出要求。5.2.3軟件獲取5.2.3.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)對(duì)軟件進(jìn)行端到端的完整性驗(yàn)證。T/CSAC004—2024b)測(cè)評(píng)流程：核查記錄表單類文檔，開展軟件完整性檢測(cè)。c)預(yù)期結(jié)果：1)具有端到端的完整性驗(yàn)證及驗(yàn)證結(jié)果的記錄；2)完整性檢測(cè)結(jié)果與提供的記錄一致。5.2.3.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)對(duì)所獲取軟件進(jìn)行全面安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，例如源代碼安全漏洞分析、二進(jìn)制代碼安全漏洞分析、容器鏡像安全分析、軟件成分分析等軟件供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估，確保所獲取軟件符合約定的安全要求。b)測(cè)評(píng)流程：核查安全檢測(cè)報(bào)告和協(xié)議、合同，開展軟件安全檢測(cè)。c)預(yù)期結(jié)果：1)安全檢測(cè)或風(fēng)險(xiǎn)評(píng)估報(bào)告滿足協(xié)議、合同要求；2)具有軟件成分分析、源代碼安全漏洞分析、二進(jìn)制代碼安全漏洞分析或容器鏡像安全分析等至少一項(xiàng)安全檢測(cè)報(bào)告，并滿足協(xié)議、合同的約定；3)開展源代碼安全漏洞分析、二進(jìn)制代碼安全漏洞分析、容器鏡像安全分析或軟件成分分析等至少一項(xiàng)安全檢測(cè)，結(jié)果滿足協(xié)議、合同的約定。5.2.3.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)確保獲取的軟件不存在已公開漏洞未修復(fù)的情況；對(duì)于存在已公開漏洞未修復(fù)的，應(yīng)要求供方及時(shí)修復(fù)或采取相應(yīng)緩解措施，并提供漏洞處置報(bào)告。b)測(cè)評(píng)流程：核查安全檢測(cè)報(bào)告，開展軟件安全檢測(cè)。c)預(yù)期結(jié)果：1)安全檢測(cè)報(bào)告未發(fā)現(xiàn)已公開高危漏洞未修復(fù)的情況，或?qū)σ压_高危漏洞采取相應(yīng)緩解措施。2)開展安全檢測(cè)未發(fā)現(xiàn)已公開高危漏洞未修復(fù)的情況，或?qū)σ压_高危漏洞采取相應(yīng)緩解措施。5.2.3.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：對(duì)于定制研發(fā)軟件，宜掌握關(guān)鍵軟件、組件的代碼結(jié)構(gòu)和技術(shù)原理；對(duì)于需要二次開發(fā)、獨(dú)立維護(hù)的應(yīng)獲取軟件源代碼和相關(guān)知識(shí)產(chǎn)權(quán)的授權(quán)，并妥善保管。b)測(cè)評(píng)流程：訪談建設(shè)負(fù)責(zé)人，核查記錄表單類文件。c)預(yù)期結(jié)果：1)掌握關(guān)鍵軟件、組件的代碼結(jié)構(gòu)和技術(shù)原理；2)委托開發(fā)單位已提供軟件源代碼以及知識(shí)產(chǎn)權(quán)的授權(quán)；3)具備軟件源代碼的安全管理措施或機(jī)制。5.2.3.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：T/CSAC004—2024a)測(cè)評(píng)指標(biāo)：對(duì)于定制研發(fā)軟件，應(yīng)要求廠商提供軟件相關(guān)技術(shù)資料，包括但不限于中文版運(yùn)行維護(hù)、二次開發(fā)、軟件使用的場(chǎng)景和條件、權(quán)限和授權(quán)機(jī)制，軟件使用說明書、技術(shù)分析報(bào)告等技術(shù)資料。b)測(cè)評(píng)流程：核查軟件技術(shù)資料和記錄表單類文檔。c)預(yù)期結(jié)果：具有中文版運(yùn)行維護(hù)、二次開發(fā)、軟件使用的場(chǎng)景和條件、權(quán)限和授權(quán)機(jī)制，以及軟件使用說明書、技術(shù)分析報(bào)告等。5.2.4軟件運(yùn)維5.2.4.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)確定運(yùn)維方案，包括運(yùn)維團(tuán)隊(duì)、運(yùn)維內(nèi)容和范圍、運(yùn)維流程等內(nèi)容。b)測(cè)評(píng)流程：核查運(yùn)維方案。c)預(yù)期結(jié)果：具有運(yùn)維團(tuán)隊(duì)、運(yùn)維內(nèi)容和范圍、運(yùn)維流程等內(nèi)容。5.2.4.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)確保軟件及運(yùn)行環(huán)境持續(xù)穩(wěn)定可用，保障軟件完整性和訪問控制策略正常。b)測(cè)評(píng)流程：檢測(cè)授權(quán)文件、軟件完整性、訪問控制策略，核查軟件運(yùn)維記錄。c)預(yù)期結(jié)果：1)授權(quán)文件有效，更新包、補(bǔ)丁包通過完整性驗(yàn)證；2)訪問控制策略有效可用。5.2.4.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)建立可追溯臺(tái)賬，對(duì)軟件產(chǎn)品或服務(wù)整個(gè)使用過程進(jìn)行記錄、檢測(cè)和維護(hù)，及時(shí)更新維護(hù)軟件供應(yīng)鏈安全圖譜。b)測(cè)評(píng)流程：核查記錄表單類文檔，檢測(cè)軟件供應(yīng)鏈安全圖譜。c)預(yù)期結(jié)果：1)記錄中包含日常巡檢、運(yùn)行維護(hù)、設(shè)置和修改等內(nèi)容；2)軟件供應(yīng)鏈安全圖譜中包含補(bǔ)丁、所使用運(yùn)維工具等信息。5.2.4.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)將軟件作為組織資產(chǎn)進(jìn)行管理，保障軟件安裝、升級(jí)維護(hù)時(shí)從安全可控的渠道獲取軟件安裝包、升級(jí)包、補(bǔ)丁包，并開展相應(yīng)的可用性、安全性及完整性檢測(cè)分析，在確保符合要求后進(jìn)行軟件安裝、更新升級(jí)，并同步更新相關(guān)配置。b)測(cè)評(píng)流程：核查記錄表單類文檔，訪談建設(shè)負(fù)責(zé)人。c)預(yù)期結(jié)果：1)軟件資產(chǎn)管理對(duì)象覆蓋安裝包、升級(jí)包；2)安裝包、升級(jí)包在使用前經(jīng)過了可用性、安全性、完整性檢測(cè)，且滿足安全要求；3)軟件安裝、更新升級(jí)后，是否同步更新安全配置。5.2.4.5測(cè)評(píng)項(xiàng)eT/CSAC004—2024本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)在約定的環(huán)境中使用軟件，對(duì)軟件及其運(yùn)行環(huán)境進(jìn)行安全配置，并記錄相關(guān)信息。b)測(cè)評(píng)流程：核查記錄表單類文檔、協(xié)議、合同。c)預(yù)期結(jié)果：1)運(yùn)行環(huán)境的安全配置滿足協(xié)議、合同中的要求；2)對(duì)運(yùn)行環(huán)境進(jìn)行了安全配置，并記錄配置信息。5.2.4.6測(cè)評(píng)項(xiàng)f本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)明確運(yùn)維人員的訪問權(quán)限級(jí)別，對(duì)其訪問范圍和授權(quán)期限進(jìn)行嚴(yán)格區(qū)分，確定不同權(quán)限人員尤其是廠商、外包等非自有維護(hù)人員，開展軟件運(yùn)維的內(nèi)容和邊界檢查。b)測(cè)評(píng)流程：核查記錄表單類文檔，檢測(cè)權(quán)限劃分有效性。c)預(yù)期結(jié)果：1)劃分運(yùn)維人員的訪問權(quán)限級(jí)別，有效區(qū)分訪問范圍和授權(quán)期限；2)對(duì)非自有運(yùn)維人員明確規(guī)定了軟件運(yùn)維內(nèi)容和邊界，權(quán)限控制策略有效。5.2.4.7測(cè)評(píng)項(xiàng)g本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)對(duì)授權(quán)期限進(jìn)行管理，禁止使用超過授權(quán)使用期限或維保期限的軟件；確需使用的應(yīng)定期評(píng)估并處置其安全風(fēng)險(xiǎn)。b)測(cè)評(píng)流程：核查運(yùn)維方案、運(yùn)維記錄文件，訪談建設(shè)負(fù)責(zé)人。c)預(yù)期結(jié)果：1)運(yùn)維方案對(duì)超期使用軟件提出安全風(fēng)險(xiǎn)評(píng)估和處置要求；2)未發(fā)現(xiàn)超過授權(quán)使用期限或維保期限的軟件；3)存在超期使用的情況，評(píng)估并提出了安全風(fēng)險(xiǎn)防范措施。5.2.4.8測(cè)評(píng)項(xiàng)h本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)對(duì)軟件運(yùn)維工具、運(yùn)維環(huán)境等進(jìn)行安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)并處置軟件中斷供應(yīng)、停止授權(quán)、停止提供產(chǎn)品升級(jí)等供應(yīng)關(guān)系風(fēng)險(xiǎn)，漏洞、后門等技術(shù)安全風(fēng)險(xiǎn)以及知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。b)測(cè)評(píng)流程：核查安全檢測(cè)報(bào)告或開展安全檢測(cè)。c)預(yù)期結(jié)果：1)報(bào)告中未發(fā)現(xiàn)軟件運(yùn)維工具、運(yùn)維環(huán)境的安全問題；2)開展安全檢測(cè)未發(fā)現(xiàn)軟件運(yùn)維工具、運(yùn)維環(huán)境的安全問題；3)發(fā)現(xiàn)了安全問題，采取了有效的消控措施。5.2.4.9測(cè)評(píng)項(xiàng)i本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)收集軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)信息，發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，并按照規(guī)定及時(shí)向有關(guān)主管監(jiān)管部門報(bào)告。b)測(cè)評(píng)流程：訪談建設(shè)負(fù)責(zé)人，核查記錄表單文件，開展安全檢測(cè)。c)預(yù)期結(jié)果：1)具有持續(xù)檢測(cè)或收集軟件供應(yīng)鏈安全風(fēng)險(xiǎn)信息的機(jī)制；T/CSAC004—20242)具有修復(fù)補(bǔ)救的記錄，且修復(fù)文件經(jīng)過安全檢測(cè)不存在高危安全漏洞或惡意代碼；3)涉及向主管監(jiān)管部門報(bào)告的，具有完備的文件和記錄。5.2.4.10測(cè)評(píng)項(xiàng)j本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)依據(jù)實(shí)際業(yè)務(wù)場(chǎng)景的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃，制定可接受的恢復(fù)時(shí)間和恢復(fù)目標(biāo)，并確定防范供應(yīng)中斷和服務(wù)中斷等風(fēng)險(xiǎn)的安全策略。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：1)制定了業(yè)務(wù)恢復(fù)策略和程序，明確恢復(fù)時(shí)間和恢復(fù)目標(biāo)；2)具備防范供應(yīng)中斷和服務(wù)中斷等風(fēng)險(xiǎn)的安全策略。5.2.4.11測(cè)評(píng)項(xiàng)k本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)開展軟件供應(yīng)鏈相關(guān)范圍內(nèi)的數(shù)據(jù)安全檢測(cè)分析和風(fēng)險(xiǎn)評(píng)估等工作，防止因軟件漏洞引起的信息泄露、數(shù)據(jù)泄露、篡改和損毀等安全事件發(fā)生。b)測(cè)評(píng)流程：核查安全分析報(bào)告或記錄，開展安全檢測(cè)或風(fēng)險(xiǎn)評(píng)估。c)預(yù)期結(jié)果：1)具有安全分析報(bào)告或分析記錄，未發(fā)現(xiàn)信息泄露、數(shù)據(jù)泄露、數(shù)據(jù)篡改和數(shù)據(jù)損毀等數(shù)據(jù)安全風(fēng)險(xiǎn)；2)或者發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)，并采取消控措施。5.2.4.12測(cè)評(píng)項(xiàng)l本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)對(duì)軟件外聯(lián)網(wǎng)絡(luò)地址、域名數(shù)據(jù)等進(jìn)行檢測(cè)和分析，及時(shí)發(fā)現(xiàn)產(chǎn)品后門植入、擅自提高權(quán)限等違規(guī)操作。b)測(cè)評(píng)流程：核查安全檢測(cè)報(bào)告，或開展安全檢測(cè)。c)預(yù)期結(jié)果：1)未發(fā)現(xiàn)軟件外聯(lián)網(wǎng)絡(luò)地址、域名數(shù)據(jù)等檢測(cè)等內(nèi)容中存在后門、越權(quán)等安全風(fēng)險(xiǎn)。2)或者對(duì)已經(jīng)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)，采取了消控措施。5.2.5軟件廢止5.2.5.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定軟件廢止處理規(guī)程，例如軟件停用和卸載、軟件供應(yīng)鏈安全圖譜歸檔、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀等，并按照規(guī)程開展相應(yīng)工作。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：1)具有軟件停用和卸載、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀等規(guī)定、流程或機(jī)制；2)具有軟件停用和卸載、軟件供應(yīng)鏈安全圖譜歸檔、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀中的至少一類工作記錄。5.2.5.2測(cè)評(píng)項(xiàng)bT/CSAC004—2024本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)移除準(zhǔn)入控制措施和策略中與所廢止軟件相關(guān)的信息，例如軟件、人員、設(shè)備等要求和規(guī)則；對(duì)于不適合清除的應(yīng)制定相應(yīng)的控制措施和策略。b)測(cè)評(píng)流程：核查管理制度文件或工作記錄文件，開展安全檢測(cè)。c)預(yù)期結(jié)果：1)已移除與所廢止軟件相關(guān)的準(zhǔn)入控制措施和策略；2)對(duì)不適合移除的，制定了相應(yīng)的控制措施。5.2.5.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)具備軟件廢止后防止軟件泄露、數(shù)據(jù)泄露的安全保障能力。b)測(cè)評(píng)流程：核查數(shù)據(jù)安全分析報(bào)告或檢測(cè)數(shù)據(jù)安全保護(hù)措施。c)預(yù)期結(jié)果：安全保護(hù)措施有效可用，能夠?qū)崿F(xiàn)軟件防泄露、數(shù)據(jù)防泄露。5.2.5.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：對(duì)于軟件產(chǎn)品廢止并替換為新產(chǎn)品的，應(yīng)要求新產(chǎn)品的供方支持?jǐn)?shù)據(jù)遷移到新的軟件產(chǎn)品。b)測(cè)評(píng)流程：核查協(xié)議、合同、數(shù)據(jù)遷移記錄。c)預(yù)期結(jié)果：涉及替換為新產(chǎn)品的，新產(chǎn)品供方已將原始數(shù)據(jù)遷移到新的軟件產(chǎn)品，并記錄清晰。5.2.5.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：涉及數(shù)據(jù)銷毀的，宜參照GB/T37988—2019中第11章的要求進(jìn)行數(shù)據(jù)銷毀、防止對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行修復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。b)測(cè)評(píng)流程：核查記錄表單文件。c)預(yù)期結(jié)果：按照GB/T37988—2019中第11章的要求執(zhí)行數(shù)據(jù)銷毀。5.2.5.6測(cè)評(píng)項(xiàng)f本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：廢止工作完成后應(yīng)進(jìn)行安全檢測(cè)，確保除例外的要求和規(guī)則外，軟件及其相關(guān)信息被完全廢止。b)測(cè)評(píng)流程：核查安全檢測(cè)報(bào)告或記錄。c)預(yù)期結(jié)果：除例外的要求和規(guī)則外，軟件及其相關(guān)信息被完全廢止。6供方軟件供應(yīng)鏈安全要求測(cè)評(píng)方法6.1組織管理6.1.1機(jī)構(gòu)管理6.1.1.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：T/CSAC004—2024a)測(cè)評(píng)指標(biāo)：應(yīng)明確軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)或人員及其職責(zé)范圍，提供保障軟件供應(yīng)鏈安全所需的資源（如有關(guān)資金、場(chǎng)地、人力等），并在預(yù)算管理過程中予以重點(diǎn)考慮。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度以及表單等文件。c)預(yù)期結(jié)果：具有軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)、人員和職責(zé)分工以及資金支持。6.1.1.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜，定期（至少每年一次）開展軟件供應(yīng)鏈安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估等軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理工作，包括但不限于軟件成分分析、源代碼和二進(jìn)制代碼安全檢測(cè)等。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管，核查安全檢測(cè)報(bào)告，檢測(cè)軟件供應(yīng)鏈安全圖譜。c)預(yù)期結(jié)果：1)開展軟件供應(yīng)鏈安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估等軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理工作不少于1次；2)具有軟件成分分析、源代碼和二進(jìn)制代碼安全漏洞分析等至少一項(xiàng)安全檢測(cè)或風(fēng)險(xiǎn)評(píng)估報(bào)3)至少具有軟件資產(chǎn)清單、軟件物料清單或軟件供應(yīng)鏈安全圖譜中的一項(xiàng)。6.1.1.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)及時(shí)制定、修訂、宣貫、執(zhí)行各項(xiàng)軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度文件和執(zhí)行情況。c)預(yù)期結(jié)果：1)具有軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制，并有宣貫記錄；2)具有執(zhí)行和修訂情況的記錄。6.1.2制度管理6.1.2.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略（可作為單獨(dú)的文件，也可作為相關(guān)文件中的一部分），至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別處置、監(jiān)督檢查等內(nèi)容。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：制度中具有軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別處置、監(jiān)督檢查等內(nèi)容。6.1.2.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的持續(xù)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估和事件響應(yīng)制度，并明確不同等級(jí)安全事件的報(bào)告、處置、響應(yīng)的流程和機(jī)制，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)等要求。b)測(cè)評(píng)流程：核查管理制度類文件。c)預(yù)期結(jié)果：1)具有不同等級(jí)安全事件的報(bào)告、處置、響應(yīng)的流程和機(jī)制；2)具有安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)等內(nèi)容。6.1.2.3測(cè)評(píng)項(xiàng)cT/CSAC004—2024本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定軟件開發(fā)、交付、運(yùn)維、廢止等供應(yīng)活動(dòng)的安全管理制度，例如安全開發(fā)、交付部署和驗(yàn)收、故障處理和維護(hù)升級(jí)等管理制度、規(guī)程或機(jī)制。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：具有軟件開發(fā)、交付、運(yùn)維、廢止等供應(yīng)活動(dòng)中的相關(guān)安全要求。6.1.2.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度，例如人員權(quán)限、能力、資質(zhì)、背景、技能培訓(xùn)等內(nèi)容；對(duì)于重要崗位人員（如安全測(cè)試人員、配置管理人員、漏洞管理人員等）應(yīng)明確并開展背景審查工作的要求。b)測(cè)評(píng)流程：核查人員管理制度文件。c)預(yù)期結(jié)果：1)具有人員權(quán)限、技術(shù)能力、專業(yè)資質(zhì)、安全背景、技能培訓(xùn)等要求；2)具有對(duì)采購(gòu)、安全測(cè)試、配置管理、漏洞管理等人員背景審查的要求。6.1.2.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)制定知識(shí)產(chǎn)權(quán)管理制度，包括但不限于軟件授權(quán)證書、專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：具有對(duì)專利、軟件著作權(quán)、許可協(xié)議等制度內(nèi)容。。6.1.3人員管理6.1.3.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)明確人員需具備的軟件供應(yīng)鏈實(shí)體要素的識(shí)別和安全分析能力，例如軟件資產(chǎn)識(shí)別分析、軟件漏洞挖掘、后門檢測(cè)、訪問控制管理、完整性保護(hù)等。b)測(cè)評(píng)流程：核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果：1)具有軟件資產(chǎn)識(shí)別分析、軟件漏洞挖掘、后門檢測(cè)、訪問控制管理、完整性保護(hù)等至少一項(xiàng)能力要求；2)具有軟件供應(yīng)鏈實(shí)體要素的識(shí)別和安全分析能力的考核記錄。6.1.3.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)劃分人員的職責(zé)定位、權(quán)限級(jí)別，采用最小授權(quán)機(jī)制并建立操作規(guī)范，創(chuàng)建操作b)測(cè)評(píng)流程：核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果：1)劃分了軟件供應(yīng)鏈安全管理人員職責(zé)分工、權(quán)限級(jí)別；2)根據(jù)工作任務(wù)分配了最小權(quán)限；3)具有人員操作日志或記錄。T/CSAC004—20246.1.3.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)具備防范各類軟件供應(yīng)鏈安全風(fēng)險(xiǎn)能力，如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。b)測(cè)評(píng)流程：核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果：1)具有軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等要求；2)具有防范供應(yīng)關(guān)系風(fēng)險(xiǎn)、技術(shù)安全風(fēng)險(xiǎn)、合規(guī)安全風(fēng)險(xiǎn)等能力考核記錄。6.1.3.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)定期（至少每年一次）開展軟件供應(yīng)鏈安全和保密培訓(xùn)，培訓(xùn)內(nèi)容包括但不限軟件供應(yīng)鏈實(shí)體要素的識(shí)別和安全分析，以及防范各類軟件供應(yīng)鏈安全風(fēng)險(xiǎn)能力涉及的內(nèi)容。b)測(cè)評(píng)流程：訪談信息/網(wǎng)絡(luò)安全主管，核查管理制度文件和記錄表單類文檔。c)預(yù)期結(jié)果：1)開展了保密培訓(xùn)，具有培訓(xùn)記錄；2)開展了能力培訓(xùn)，內(nèi)容包含軟件供應(yīng)鏈實(shí)體要素識(shí)別或安全分析能力中至少一項(xiàng)；3)開展了能力培訓(xùn)，內(nèi)容包含供應(yīng)關(guān)系風(fēng)險(xiǎn)、技術(shù)安全風(fēng)險(xiǎn)、合規(guī)安全風(fēng)險(xiǎn)及相應(yīng)防范措施。6.1.3.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)建立并執(zhí)行離職離崗人員的賬號(hào)、權(quán)限、材料等交接、清理的機(jī)制和規(guī)程。b)測(cè)評(píng)流程：核查管理制度文件、記錄表單類文檔，檢測(cè)賬號(hào)權(quán)限。c)預(yù)期結(jié)果：1)具有離職人員賬號(hào)、權(quán)限、材料的交接和清理機(jī)制和規(guī)程；2)具有離職離崗人員停止其賬號(hào)及訪問權(quán)限、交還材料等記錄；3)離職人員賬號(hào)權(quán)限已不可用。6.1.4知識(shí)產(chǎn)權(quán)管理6.1.4.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)防止因知識(shí)產(chǎn)權(quán)問題導(dǎo)致的法律風(fēng)險(xiǎn)，或具備防范相應(yīng)法律風(fēng)險(xiǎn)的能力和機(jī)制。b)測(cè)評(píng)流程：核查管理制度文件。c)預(yù)期結(jié)果：規(guī)定專利、軟著、授權(quán)、許可證至少一項(xiàng)知識(shí)產(chǎn)權(quán)管理要求。6.1.4.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)充分熟悉所提供軟件的知識(shí)產(chǎn)權(quán)，對(duì)知識(shí)產(chǎn)權(quán)進(jìn)行規(guī)范管理，防止侵權(quán)。b)測(cè)評(píng)流程：訪談知識(shí)產(chǎn)權(quán)管理人員。c)預(yù)期結(jié)果：1）熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識(shí)產(chǎn)權(quán)使用情況；2）未發(fā)生知識(shí)產(chǎn)權(quán)侵權(quán)案件；T/CSAC004—20243）未違規(guī)使用開源組件。6.2供應(yīng)活動(dòng)管理6.2.1基本流程6.2.1.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)在開展供應(yīng)活動(dòng)前，以協(xié)議、合同等方式與需方建立供應(yīng)關(guān)系。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：開展供應(yīng)活動(dòng)前簽訂了協(xié)議或合同。6.2.1.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)在協(xié)議、合同等文件中明確對(duì)供應(yīng)活動(dòng)的安全要求，并簽署相應(yīng)的保密協(xié)議。b)測(cè)評(píng)流程：核查協(xié)議、合同。c)預(yù)期結(jié)果：1）具有軟件開發(fā)、交付、運(yùn)維、廢止等至少一類安全要求；2）具有有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。。6.2.1.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)按照約定的內(nèi)容和范圍開展軟件供應(yīng)活動(dòng)管理。b)測(cè)評(píng)流程：核查協(xié)議、合同執(zhí)行記錄。c)預(yù)期結(jié)果：按照軟件開發(fā)、交付、運(yùn)維、廢止等的內(nèi)容和范圍開展相應(yīng)供應(yīng)活動(dòng)。6.2.2軟件開發(fā)6.2.2.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)參照GB/T30998—2014第6章開展軟件開發(fā)的安全保障分析，或具備安全開發(fā)資質(zhì)，例如信息安全服務(wù)資質(zhì)（安全開發(fā)類）、軟件安全開發(fā)服務(wù)資質(zhì)等。b)測(cè)評(píng)流程：核查管理制度文件、記錄表單類文件。c)預(yù)期結(jié)果：1)在軟件需求、設(shè)計(jì)、編碼、測(cè)試等階段具有安全開發(fā)規(guī)范，開展了安全保障分析，具有分析報(bào)告或記錄；2)或具有至少一類安全開發(fā)服務(wù)資質(zhì)。6.2.2.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)將軟件作為組織資產(chǎn)進(jìn)行管理，制定和實(shí)施防盜版的策略和規(guī)程，開發(fā)過程中對(duì)文件、組件、開發(fā)工具等采取訪問控制、完整性保護(hù)等安全機(jī)制。b)測(cè)評(píng)流程：核查記錄表單類文件，開展完整性保護(hù)、訪問控制措施有效性檢測(cè)。c)預(yù)期結(jié)果：1)具有軟件資產(chǎn)管理制度或規(guī)定，包含防盜版的策略或規(guī)程；T/CSAC004—20242)文件、組件、開發(fā)工具的訪問控制、完整性保護(hù)措施有效可用。6.2.2.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)構(gòu)建軟件供應(yīng)鏈安全圖譜，記錄軟件產(chǎn)品信息、軟件物料清單、安全漏洞等信息，并保障其完備性和準(zhǔn)確性。b)測(cè)評(píng)流程：檢測(cè)軟件供應(yīng)鏈安全圖譜，核查記錄表單類文件。c)預(yù)期結(jié)果：1)建立軟件資產(chǎn)清單、軟件物料清單或軟件供應(yīng)鏈安全圖譜；2)圖譜包含GB/T43698-2024附錄D中軟件產(chǎn)品信息、軟件物料清單、安全漏洞等信息；3)具有軟件供應(yīng)鏈安全圖譜的完備性和準(zhǔn)確性的記錄。6.2.2.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)基于軟件供應(yīng)鏈安全圖譜，建立和維護(hù)可追溯性的策略和程序，記錄和保留外部組件的原始供應(yīng)方、開源社區(qū)或開發(fā)貢獻(xiàn)者等相關(guān)信息，可追溯至上游供應(yīng)商。b)測(cè)評(píng)流程：核查軟件供應(yīng)鏈安全圖譜可追溯策略或程序。c)預(yù)期結(jié)果：1)具有開源組件的上游或原始供應(yīng)方、開源社區(qū)或開發(fā)貢獻(xiàn)者等信息；2)具有第三方組件的上游或原始供應(yīng)方或開發(fā)貢獻(xiàn)者等信息；3)具有自研組件開發(fā)貢獻(xiàn)者信息；6.2.2.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)確定軟件的安全需求基線和防護(hù)架構(gòu)，保障軟件具備安全防護(hù)、保護(hù)個(gè)人信息和重要數(shù)據(jù)不被泄露等能力。b)測(cè)評(píng)流程：核查基線配置記錄，檢測(cè)基線配置和防護(hù)措施。c)測(cè)評(píng)流程：1)具有安全基線配置記錄；2)配置中包含安全防護(hù)、保護(hù)個(gè)人信息和重要數(shù)據(jù)防泄露等內(nèi)容；3)基線配置和安全防護(hù)措施有效可用。6.2.2.6測(cè)評(píng)項(xiàng)f本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)承諾所使用的外部組件不存在已公開漏洞未修復(fù)的情況；對(duì)于存在已公開漏洞未修復(fù)的，應(yīng)及時(shí)修復(fù)漏洞，或采取緩解防御措施，或提供漏洞分析和處置報(bào)告。b)測(cè)評(píng)流程：核查合同或承諾書、安全檢測(cè)報(bào)告，開展軟件安全檢測(cè)。c)預(yù)期結(jié)果：1)具有開源或第三方組件不存在已知公開漏洞未修復(fù)的承諾；2)安全檢測(cè)報(bào)告中不存在已公開漏洞未修復(fù)的情況，或?qū)Υ嬖谝压_漏洞未修復(fù)的，采取了相應(yīng)緩解措施；3)開展軟件安全檢測(cè)未發(fā)現(xiàn)已公開漏洞未修復(fù)的情況。6.2.2.7測(cè)評(píng)項(xiàng)gT/CSAC004—2024本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)建立外部組件的使用審批機(jī)制，對(duì)來源于開放源代碼社區(qū)和第三方的代碼、組件和軟件進(jìn)行完整性驗(yàn)證、安全檢測(cè)和依賴關(guān)系分析，并對(duì)開源代碼進(jìn)行安全評(píng)價(jià)；建立自有的開源和第三方組件庫(kù)，并標(biāo)明使用等級(jí)（如優(yōu)選、可選、限選、禁選等），保障外部組件來源可靠、安全風(fēng)險(xiǎn)可消除或控制。b)測(cè)評(píng)流程：核查管理制度文件，檢測(cè)外部組件庫(kù)。c)預(yù)期結(jié)果：1)具有外部組件的使用審批機(jī)制；2)審批機(jī)制內(nèi)容包括完整性驗(yàn)證、安全檢測(cè)評(píng)價(jià)和依賴關(guān)系分析，并具有相應(yīng)的記錄；3)具有自建的開源或第三方組件庫(kù)，具有組件推薦策略；4)組件安全檢測(cè)的漏洞、開源許可協(xié)議結(jié)果與審批過程的結(jié)果一致。6.2.2.8測(cè)評(píng)項(xiàng)h本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)持續(xù)跟蹤所使用的工具、外部組件的使用狀態(tài)、安全狀態(tài)；對(duì)于存在安全風(fēng)險(xiǎn)的，應(yīng)及時(shí)通報(bào)，并及時(shí)采取更新、修復(fù)等措施，完善軟件供應(yīng)鏈安全圖譜信息；對(duì)于缺乏維護(hù)或即將廢止的組件應(yīng)采取停用、廢止等處置措施。b)測(cè)評(píng)流程：訪談項(xiàng)目負(fù)責(zé)人，核查記錄表單類文檔，開展軟件供應(yīng)鏈安全圖譜和軟件安全檢測(cè)。c)預(yù)期結(jié)果：1)定期或按需對(duì)所使用的工具、外部組件進(jìn)行安全分析；2)具有所使用的工具、外部組件的使用狀態(tài)、安全狀態(tài)分析報(bào)告或記錄；3)對(duì)于存在安全風(fēng)險(xiǎn)、缺乏維護(hù)或?qū)⒁獜U止的工具、外部組件，具有更新、修復(fù)或停用、廢止等安全保障記錄或計(jì)劃，并同時(shí)開展或計(jì)劃對(duì)軟件供應(yīng)鏈安全圖譜更新。6.2.2.9測(cè)評(píng)項(xiàng)i本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：對(duì)于難以驗(yàn)證來源的工具、外部組件，應(yīng)禁止使用；確需使用的應(yīng)醒目標(biāo)注，說明原因，通過安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估后方可使用。b)測(cè)評(píng)流程：訪談項(xiàng)目負(fù)責(zé)人，核查記錄表單類文檔、安全檢測(cè)報(bào)告，開展安全檢測(cè)。c)預(yù)期結(jié)果：1)沒有使用未通過完整性校驗(yàn)或難以驗(yàn)證來源的工具、外部組件；2)使用了難以驗(yàn)證來源的工具、外部組件，并醒目標(biāo)注；3)具有2）中工具、外部組件的安全檢測(cè)分析記錄或報(bào)告，采取了安全防護(hù)措施。6.2.2.10測(cè)評(píng)項(xiàng)j本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)建立安全可控的軟件開發(fā)工作場(chǎng)所，搭建并使用專用的開發(fā)環(huán)境；涉及多個(gè)開發(fā)環(huán)境的應(yīng)進(jìn)行必要的邏輯隔離。b)測(cè)評(píng)流程：訪談項(xiàng)目負(fù)責(zé)人、檢測(cè)開發(fā)環(huán)境、核查記錄表單類文檔。c)預(yù)期結(jié)果：1)具有安全可控的軟件開發(fā)工作場(chǎng)所；2)具有專用的開發(fā)環(huán)境；3)涉及多個(gè)開發(fā)環(huán)境的，進(jìn)行了有效的邏輯隔離。T/CSAC004—20246.2.2.11測(cè)評(píng)項(xiàng)k本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)建立開發(fā)/測(cè)試工具和設(shè)備白名單，采用安全檢測(cè)、正版授權(quán)驗(yàn)證、官方完整性校驗(yàn)等措施進(jìn)行白名單準(zhǔn)入控制，保障核心開發(fā)工具、核心組件有可替代方案或自主可控。b)測(cè)評(píng)流程：核查記錄表單類文件。c)預(yù)期結(jié)果：1)具有開發(fā)/測(cè)試工具和設(shè)備的白名單準(zhǔn)入控制機(jī)制；2)具有安全檢測(cè)、正版授權(quán)驗(yàn)證、官方完整性校驗(yàn)等措施和實(shí)施記錄；3)核心開發(fā)工具、核心組件具有可替代方案或自主可控。6.2.2.12測(cè)評(píng)項(xiàng)l本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)選擇供需雙方約定的方式開展軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估工作，例如源代碼安全檢測(cè)、二進(jìn)制代碼安全檢測(cè)、軟件成分分析、知識(shí)產(chǎn)權(quán)分析、數(shù)據(jù)安全能力成熟度分析等。b)測(cè)評(píng)流程：核查協(xié)議、合同、安全檢測(cè)報(bào)告，開展軟件安全檢測(cè)。c)預(yù)期結(jié)果：1)具有源代碼安全檢測(cè)、二進(jìn)制代碼安全檢測(cè)、軟件成分分析、知識(shí)產(chǎn)權(quán)分析、數(shù)據(jù)安全能力成熟度分析等至少一項(xiàng)安全檢測(cè)或風(fēng)險(xiǎn)評(píng)估報(bào)告；2)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估報(bào)告或記錄滿足協(xié)議、合同中的安全要求；3)經(jīng)檢測(cè)報(bào)告發(fā)現(xiàn)的問題已修復(fù)，或采取了相應(yīng)的防護(hù)措施。6.2.3軟件交付6.2.3.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)確保交付軟件的真實(shí)性、準(zhǔn)確性、完整性，采取措施保護(hù)信息不被篡改和泄露，并提供所交付軟件的完整性驗(yàn)證措施或方法。b)測(cè)評(píng)流程：訪談項(xiàng)目負(fù)責(zé)人、檢測(cè)完保護(hù)措施。c)預(yù)期結(jié)果：1)具有保障軟件真實(shí)性、準(zhǔn)確性、完整性，以及保護(hù)信息不被篡改和泄露的安全措施；2)軟件采取的完整性驗(yàn)證措施或方法有效可用。6.2.3.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)按約定方式對(duì)交付軟件實(shí)行安全部署和配置，提供部署方法、安全配置基線和軟件供應(yīng)鏈安全圖譜等信息。b)測(cè)評(píng)流程：核查協(xié)議、合同和記錄表單類文件。c)預(yù)期結(jié)果：1)執(zhí)行的安全部署和配置滿足協(xié)議、合同中的安全要求；2)提供部署方法、安全配置基線和軟件供應(yīng)鏈安全圖譜。6.2.3.3測(cè)評(píng)項(xiàng)c本項(xiàng)測(cè)評(píng)內(nèi)容包括：T/CSAC004—2024a)測(cè)評(píng)指標(biāo)：應(yīng)承諾所交付軟件不存在已公開漏洞未修復(fù)的情況；對(duì)于存在已公開漏洞未修復(fù)的，應(yīng)及時(shí)采取緩解措施，并提供漏洞處置報(bào)告。b)測(cè)評(píng)流程：核查承諾書或安全檢測(cè)報(bào)告，開展軟件安全檢測(cè)。c)預(yù)期結(jié)果：1)具有不存在已知高危安全漏洞未修復(fù)的承諾書；2)安全檢測(cè)報(bào)告不存在已公開高危安全漏洞；或?qū)τ诖嬖谝压_漏洞未修復(fù)的，采取了相應(yīng)緩解措施；3)或開展安全檢測(cè)未發(fā)現(xiàn)已公開高危安全漏洞，或者對(duì)檢測(cè)發(fā)現(xiàn)的已公開高危安全漏洞采取了相應(yīng)緩解措施。6.2.3.4測(cè)評(píng)項(xiàng)d本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)配合開展所交付軟件的功能、性能、完整性及安全性等驗(yàn)收測(cè)試并對(duì)軟件進(jìn)行數(shù)字簽名，開展包括但不限于供應(yīng)關(guān)系、供應(yīng)活動(dòng)的安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，以及可持續(xù)供應(yīng)能力、安全漏洞等安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，確保符合約定的安全要求。b)測(cè)評(píng)流程：核查安全檢測(cè)報(bào)告、記錄表單類文檔和協(xié)議、合同。c)預(yù)期結(jié)果：1)具有交付軟件的功能、性能、完整性驗(yàn)收?qǐng)?bào)告或記錄；2)交付軟件進(jìn)行了數(shù)字簽名；3)開展了供應(yīng)關(guān)系、供應(yīng)活動(dòng)的安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估以及可持續(xù)供應(yīng)能力、安全漏洞等的記錄或報(bào)告；4)滿足協(xié)議、合同中的安全要求。6.2.3.5測(cè)評(píng)項(xiàng)e本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：對(duì)于所交付軟件，應(yīng)禁止交付約定范圍外的內(nèi)容，如開啟無關(guān)功能、捆綁無關(guān)軟件等，并承諾不在軟件中設(shè)置后門，或利用軟件的便利條件非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備，不會(huì)利用軟件的依賴性謀取不正當(dāng)利益，不在未授權(quán)情況下對(duì)軟件進(jìn)行升級(jí)或更新?lián)Q代；對(duì)于約定的遠(yuǎn)程訪問控制措施，應(yīng)采取必要技術(shù)手段和管理措施確保遠(yuǎn)程控制過程的安全性。b)測(cè)評(píng)流程：訪談項(xiàng)目負(fù)責(zé)人，核查協(xié)議、合同和記錄表單類文檔。c)預(yù)期結(jié)果：1)所交付軟件不存在開啟無關(guān)功能，捆綁無關(guān)軟件的現(xiàn)象；2)承諾了不在軟件中設(shè)置后門，或利用軟件的便利條件非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備，不會(huì)利用軟件的依賴性謀取不正當(dāng)利益，不在未授權(quán)情況下對(duì)軟件進(jìn)行升級(jí)或更新?lián)Q代；3)采取了必要技術(shù)手段和管理措施確保遠(yuǎn)程訪問控制的安全性。6.2.3.6測(cè)評(píng)項(xiàng)f本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)及時(shí)提供交付環(huán)節(jié)變化的通報(bào)，以及相關(guān)的交付途徑安全性分析報(bào)告，并對(duì)可能造成嚴(yán)重后果的變化，快速采取補(bǔ)救措施。b)測(cè)評(píng)流程：訪談項(xiàng)目負(fù)責(zé)人，核查記錄表單類文件。c)預(yù)期結(jié)果：T/CSAC004—20241)涉及交付環(huán)節(jié)變化的，具有變更的通報(bào)和記錄；2)具有交付途徑的安全分析記錄或報(bào)告。6.2.3.7測(cè)評(píng)項(xiàng)g本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)交付需方購(gòu)買軟件的使用授權(quán)，例如許可證、產(chǎn)品序列號(hào)、許可協(xié)議等。b)測(cè)評(píng)流程：核查授權(quán)、記錄表單類文件。c)預(yù)期結(jié)果：交付了許可證、序列號(hào)等授權(quán)文件。6.2.3.8測(cè)評(píng)項(xiàng)h本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)保障所交付軟件使用的外部組件獲取途徑安全性、自身安全性、組件可持續(xù)服務(wù)等，提供與軟件一致的質(zhì)量、安全、服務(wù)承諾，并按照協(xié)議提供承諾、說明、認(rèn)證證明、分析報(bào)告、資質(zhì)證明等相關(guān)材料。b)測(cè)評(píng)流程：核查安全檢測(cè)報(bào)告、記錄表單類文檔和協(xié)議、合同。c)預(yù)期結(jié)果：1)對(duì)外部組件的獲取途徑、自身安全和可持續(xù)供應(yīng)等進(jìn)行了安全分析；2)對(duì)外部組件提供的承諾、說明、認(rèn)證證明、分析報(bào)告、資質(zhì)證明等相關(guān)材料符合協(xié)議、合同要求。6.2.3.9測(cè)評(píng)項(xiàng)i本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：對(duì)于定制研發(fā)軟件，應(yīng)交付包括但不限于軟件源代碼，中文版運(yùn)行維護(hù)、二次開發(fā)、軟件使用的場(chǎng)景和條件、權(quán)限和授權(quán)機(jī)制，以及軟件使用說明書、技術(shù)分析報(bào)告等技術(shù)資料。b)測(cè)評(píng)流程：核查軟件代碼和上述文件。c)預(yù)期結(jié)果：交付了軟件源代碼，中文版運(yùn)行維護(hù)、二次開發(fā)、軟件使用的場(chǎng)景和條件、權(quán)限和授權(quán)機(jī)制，以及軟件使用說明書、技術(shù)分析報(bào)告等。6.2.3.10測(cè)評(píng)項(xiàng)j本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：對(duì)于定制研發(fā)或者自主研制軟件，應(yīng)妥善保管i)中的內(nèi)容，并依據(jù)相關(guān)規(guī)定或合同文件，不將軟件全部或部分泄露到授權(quán)以外的范圍，并簽署保密協(xié)議。b)測(cè)評(píng)流程：核查保障措施、協(xié)議、合同。c)預(yù)期結(jié)果：1)合同或保障措施中約定了軟件授權(quán)和使用范圍；2)合同、協(xié)議中規(guī)定了保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等6.2.3.11測(cè)評(píng)項(xiàng)k本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)對(duì)軟件分包、集成等工作的安全負(fù)責(zé)。b)測(cè)評(píng)流程：訪談項(xiàng)目負(fù)責(zé)人，核查協(xié)議、合同。c)預(yù)期結(jié)果：涉及分包、集成的，協(xié)議、合同中包括對(duì)軟件分包、集成等工作的安全負(fù)責(zé)條款。T/CSAC004—20246.2.3.12測(cè)評(píng)項(xiàng)l本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)開展全面的軟件供應(yīng)鏈安全檢測(cè)，例如源代碼安全檢測(cè)、二進(jìn)制代碼安全檢測(cè)和容器鏡像安全檢測(cè)等，緩解或消除軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。b)測(cè)評(píng)流程：核查安全檢測(cè)報(bào)告，開展安全檢測(cè)。c)預(yù)期結(jié)果：1)具有源代碼安全檢測(cè)、二進(jìn)制代碼安全檢測(cè)和容器鏡像安全檢測(cè)等的至少一項(xiàng)安全檢測(cè)報(bào)告，并修復(fù)了發(fā)現(xiàn)的高危安全風(fēng)險(xiǎn)；2)開展軟件源代碼、二進(jìn)制代碼或容器鏡像安全檢測(cè)，對(duì)發(fā)現(xiàn)的高危安全漏洞、開源許可協(xié)議采取了消控措施。6.2.4軟件運(yùn)維6.2.4.1測(cè)評(píng)項(xiàng)a本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)確保軟件在授權(quán)期內(nèi)持續(xù)穩(wěn)定可用，保障軟件完整性和訪問控制策略正常。b)測(cè)評(píng)流程：檢測(cè)授權(quán)文件、軟件完整性、訪問控制策略，核查軟件運(yùn)維記錄。c)預(yù)期結(jié)果：1)授權(quán)文件有效，更新包、補(bǔ)丁包通過完整性驗(yàn)證；2)訪問控制策略有效可用。6.2.4.2測(cè)評(píng)項(xiàng)b本項(xiàng)測(cè)評(píng)內(nèi)容包括：a)測(cè)評(píng)指標(biāo)：應(yīng)協(xié)調(diào)軟件原廠、供應(yīng)商、集成商等共同開展軟件運(yùn)維工作。b)測(cè)評(píng)流程：訪談項(xiàng)目負(fù)責(zé)人，核查記錄表單文件。c)預(yù)期結(jié)果：1)能夠協(xié)調(diào)軟件原廠