《信息安全技術(shù) 軟件供應(yīng)鏈安全要求》(征求意見稿)發(fā)布

發(fā)布時間 2022-10-14

軟件供應(yīng)鏈?zhǔn)且粋€全球分布的、具有供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全流程覆蓋等諸多特點(diǎn)的復(fù)雜系統(tǒng),在軟件供應(yīng)鏈各個供應(yīng)活動中均可能引入安全隱患,導(dǎo)致軟件漏洞、軟件后門、惡意篡改、假冒偽劣、知識產(chǎn)權(quán)風(fēng)險、供應(yīng)中斷、信息泄露等安全風(fēng)險。


隨著軟件的復(fù)雜度不斷提高,軟件產(chǎn)品內(nèi)部開發(fā)過程中產(chǎn)生的以及從上游繼承的軟件漏洞無法避免,這些軟件漏洞可能被攻擊者利用,對軟件以及計算機(jī)系統(tǒng)造成嚴(yán)重的安全風(fēng)險。


在此背景下,近日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《信息安全技術(shù) 軟件供應(yīng)鏈安全要求》(征求意見稿)(以下簡稱《安全要求》)。


《安全要求》給出了軟件供應(yīng)鏈安全保護(hù)目標(biāo),規(guī)定了軟件供應(yīng)鏈組織管理和供應(yīng)活動管理的安全要求;適用于指導(dǎo)軟件供應(yīng)鏈中的需方、供方開展組織管理和供應(yīng)活動管理,可為第三方機(jī)構(gòu)開展軟件供應(yīng)鏈安全測試和評估提供依據(jù),也可為主管監(jiān)管部門提供參考。


《安全要求》指出,軟件供應(yīng)鏈安全目標(biāo)是識別和防范供應(yīng)關(guān)系和供應(yīng)活動中面臨的安全風(fēng)險,提升軟件供應(yīng)鏈安全保障能力,主要包括:


  • 提升軟件產(chǎn)品或服務(wù)中斷供應(yīng)等風(fēng)險管理能力:識別和防范供應(yīng)關(guān)系建立及供應(yīng)活動中軟件產(chǎn)品和服務(wù)供應(yīng)中斷的管理安全風(fēng)險,提升軟件供應(yīng)鏈的韌性,當(dāng)軟件供應(yīng)鏈中斷或部分失效時,能夠保障業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行。

  • 提升供應(yīng)活動引入的技術(shù)安全風(fēng)險管理能力:識別和防范由于供應(yīng)關(guān)系或供應(yīng)活動變化導(dǎo)致的軟件漏洞、后門、篡改、偽造等技術(shù)安全風(fēng)險,提升軟件供應(yīng)鏈的可追溯性、安全性,一旦發(fā)現(xiàn)上述風(fēng)險,可以快速有效追溯和修復(fù)。

  • 提升軟件供應(yīng)鏈數(shù)據(jù)安全風(fēng)險管理能力:識別和防范供應(yīng)關(guān)系和供應(yīng)活動中存在的數(shù)據(jù)泄露、數(shù)據(jù)篡改、非法訪問等安全風(fēng)險,提升軟件供應(yīng)鏈數(shù)據(jù)安全保護(hù)能力,防止軟件供應(yīng)鏈的數(shù)據(jù)泄露給未授權(quán)者。


針對組織管理,《安全要求》提出相應(yīng)的安全要求。


1、機(jī)構(gòu)管理


  • 需方應(yīng)明確軟件供應(yīng)鏈安全管理機(jī)構(gòu),明確其職責(zé)及人員,并提供用于軟件供應(yīng)鏈安全管理的資金、資產(chǎn)和權(quán)限等可用資源,保障軟件供應(yīng)鏈安全管理工作順利執(zhí)行;

  • 需方應(yīng)組織開展常態(tài)化軟件供應(yīng)鏈實體要素識別,以及供應(yīng)關(guān)系、供應(yīng)活動的安全風(fēng)險識別、處置和防范等工作,組織構(gòu)建并管理軟件構(gòu)成圖譜(見附錄B),充分掌握組織的軟件供應(yīng)鏈安全風(fēng)險;

  • 需方應(yīng)持續(xù)加強(qiáng)軟件供應(yīng)鏈安全能力建設(shè),包括但不限于供應(yīng)關(guān)系管理,軟件供應(yīng)鏈實體要素識別,軟件供應(yīng)鏈風(fēng)險識別、響應(yīng)及防范等能力,持續(xù)提升自身軟件供應(yīng)鏈安全保障能力;

  • 對于重要組織或場景,例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者等,需方宜設(shè)立專職的軟件供應(yīng)鏈管理機(jī)構(gòu),根據(jù)a)至c)條款開展全流程軟件供應(yīng)鏈安全管理工作。


2、制度管理


  • 需方應(yīng)圍繞軟件供應(yīng)鏈風(fēng)險識別和防范明確軟件供應(yīng)鏈安全的總體方針、安全制度和策略,包括但不限于開展軟件供應(yīng)鏈安全監(jiān)督、管理和檢查等內(nèi)容,并及時修訂更新;

  • 需方應(yīng)制定軟件供應(yīng)關(guān)系的安全管理制度,包括但不限于自主研發(fā)軟件、現(xiàn)貨類軟件、定制開發(fā)軟件等相關(guān)供應(yīng)關(guān)系的風(fēng)險管理制度、流程或機(jī)制;

  • 需方應(yīng)制定軟件供應(yīng)活動的安全管理制度,包括但不限于軟件采購、交付、運(yùn)維等軟件供應(yīng)活動的風(fēng)險管理制度、流程或機(jī)制;

  • 需方應(yīng)制定軟件供應(yīng)鏈參與人員的管理制度或機(jī)制,包括但不限于人員權(quán)限、能力、資質(zhì)、背景、技能培訓(xùn)等內(nèi)容;

  • 需方應(yīng)制定知識產(chǎn)權(quán)管理制度,包括但不限于專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容;

  • 需方應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險的持續(xù)監(jiān)測、風(fēng)險評估和事件響應(yīng)制度,包括但不限于應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容;

  • 需方應(yīng)明確不同等級安全事件的報告、處置和響應(yīng)流程和機(jī)制,規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)等要求;

  • 對于重要組織或場景,例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者等,需方宜制定全流程軟件供應(yīng)鏈軟件安全監(jiān)管制度,覆蓋軟件供應(yīng)鏈的全部供應(yīng)活動。


3、人員管理


  • 需方應(yīng)明確軟件供應(yīng)鏈安全保障人員及其需具備的軟件供應(yīng)鏈實體要素的識別和安全風(fēng)險管理能力,包括但不限于軟件資產(chǎn)識別分析、完整性保護(hù)以及軟件漏洞和后門分析等;

  • 需方應(yīng)劃分軟件供應(yīng)鏈各供應(yīng)活動參與人員的職責(zé)定位、權(quán)限級別,并建立操作規(guī)范,創(chuàng)建操作日志;

  • 需方應(yīng)定期開展軟件供應(yīng)鏈安全培訓(xùn),培訓(xùn)內(nèi)容包括但不限于a)、b)中涉及的內(nèi)容;

  • 對于重要組織或場景,例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者等,需方宜配置軟件供應(yīng)鏈安全保障團(tuán)隊,根據(jù)需要開展相關(guān)人員的背景調(diào)查工作;

  • 對于重要組織或場景,例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者等,需方宜要求安全保障人員具備防范全流程軟件供應(yīng)鏈安全威脅的能力,如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。