《信息安全技術—ICT供應鏈安全風險管理指南》(GB/T 36637-2018)是2019年5月1日實施的一項中國國家標準,歸口於全國信息安全標準化技術委員會。
《信息安全技術—ICT供應鏈安全風險管理指南》(GB/T 36637-2018)規定了ICT供應鏈的安全風險管理過程和控制措施,適用於重要信息系統和關鍵信息基礎設施的ICT供方和運營者對ICT供應鏈進行安全風險管理,也適用於指導ICT產品和服務的供方和需方加強供應鏈安全管理,同時還可供第三方測評機構對ICT供應鏈進行安全風險評估時參考。
基本介紹
- 中文名:信息安全技術—ICT供應鏈安全風險管理指南
- 外文名:Information security technology—Guidelines for the information and communication technology supply chain risk management
- 標準號:GB/T 36637-2018
- 中國標準分類號:L80
- 標準類別:安全
- 發布日期:2018-10-10
- 實施日期:2019-05-01
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
編制進程
2012年10月11日,國家標準計畫《信息安全技術—ICT供應鏈安全風險管理指南》(20120528-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)歸口上報及執行,主管部門為國家標準化管理委員會。全國標準信息公共服務平台顯示,該計畫已完成網上公示、起草、徵求意見、審查、批准、發布工作。
該標準編制時成立了包含需方和軟體、硬體、服務等多類供方的編制組,通過深入研究中國國內外供應鏈安全相關政策和標準,廣泛調研中國國內軟體、硬體和服務等不同類型機構的供應鏈安全風險和管理實踐,在多輪意見反饋及企業試用驗證後形成報批稿進行發布。
2018年10月10日,國家標準《信息安全技術—ICT供應鏈安全風險管理指南》(GB/T 36637-2018)由中華人民共和國國家市場監督管理總局、中國國家標準化管理委員會發布。
2019年5月1日,國家標準《信息安全技術—ICT供應鏈安全風險管理指南》(GB/T 36637-2018)實施。
制定依據
國家標準《信息安全技術—ICT供應鏈安全風險管理指南》(GB/T 36637-2018)依據中國國家標準《標準化工作導則 第1部分:標準的結構和編寫規則》(GB/T 1.1-2009)規則起草。
起草工作
主要起草單位:中國電子技術標準化研究院、聯想(北京)有限公司、浙江螞蟻小微金融服務集團股份有限公司、北京京東叄佰陸拾度電子商務有限公司、微軟(中國)有限公司、國家信息技術安全研究中心、北京賽西科技發展有限責任公司、中國信息安全認證中心、北京工業大學、北京中電普華信息技術有限公司、中國科學院軟體研究所、華為技術有限公司、阿里巴巴(北京)軟體服務有限公司、中國信息通信研究院、浪潮電子信息產業股份有限公司、英特爾(中國)有限公司、阿里雲計算有限公司、中國科學院信息工程研究所信息安全國家重點實驗室、北京郵電大學。
主要起草人:劉賢剛、胡影、孫彥、李汝鑫、王昕、白曉媛、趙江、楊煜東、陳星、寧華、吳迪、朱紅儒、曹占峰、卿斯漢、葉潤國、薛勇波、范科峰、黃少青、劉陶、趙丹丹、張凡、樊洞陽、陳曄、楊震、馬占宇。
標準目次
前言 | Ⅲ |
|---|---|
引言 | Ⅳ |
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 1 |
4縮略語 | 2 |
5概述 | 2 |
6ICT供應鏈安全風險管理過程 | 3 |
7ICT供應鏈安全風險控制背施 | 8 |
附錄A(資料性附錄)ICT供應鏈概述 | 16 |
附錄B(資料性附錄)ICT供應鏈安全威脅 | 18 |
附錄C(資料性附錄)ICT供應鏈安全脆弱性 | 21 |
參考文獻 | 25 |
參考資料:
內容範圍
《信息安全技術—ICT供應鏈安全風險管理指南》(GB/T 36637-2018)規定了ICT供應鏈的安全風險管理過程和控制措施,適用於重要信息系統和關鍵信息基礎設施的ICT供方和運營者對ICT供應鏈進行安全風險管理,也適用於指導ICT產品和服務的供方和需方加強供應鏈安全管理,同時還可供第三方測評機構對ICT供應鏈進行安全風險評估時參考。
引用檔案
GB/T 25069-2010 信息安全技術術語 | GB/T 31722-2015 信息技術安全技術信息安全風險管理 |
參考資料:
意義價值
《信息安全技術—ICT供應鏈安全風險管理指南》(GB/T 36637-2018)國家標準的發布,彌補了中國在ICT供應鏈安全領域標準缺失的問題,為提高重要信息系統和關鍵信息基礎設施的ICT供應鏈安全管理水平提供了有力支撐和技術基礎。
