《关键信息基础设施供应链安全能力要求》.pdf

ICS00.000

XXXCIIPA

团体标准

—

T/CIIPA000092024

关键信息基础设施供应链安全要求

SecurityCapabilityRequirementsfortheSupplyChainofCriticalInformation

Infrastructure

（征求意见稿）

I

20XX-XX-XX发布20XX-XX-XX实施

中关村华安关键信息基础设施安全保护联盟发布

目次

前言III

引言IV

1范围1

2规范性引用文件1

3术语和定义1

3.1关键信息基础设施criticalinformationinfrastructure1

3.2供应链supplychain1

3.3需求方acquirer1

3.4供应方supplier2

3.5供应链安全风险supplychainsecurityrisk2

3.6构件component2

3.7外部组件externalcomponent2

4缩略语2

5CII供应链安全总体要求2

5.1供应链安全风险分析2

5.2供应链安全管控措施3

5.3供应链安全准入策略3

5.4外部组件供应链安全要求3

6CII供应链安全风险识别3

6.1供应方风险3

6.2人员风险3

6.3产品风险4

6.4服务风险6

7CII供应链安全管控要求7

7.1审查管理要求7

7.2安全管理要求7

7.3技术管控要求8

7.4人员管理要求9

8CII供应链安全准入要求9

8.1供应方准入要求9

8.2人员准入要求10

8.3产品准入要求11

I

8.4服务准入要求11

9CII外部组件供应链安全管理12

9.1开源组件安全管理12

9.2第三方组件安全管理12

9.3集成和分发的安全管理13

9.4可追溯性管理13

II

前言

本文件按照《中关村华安关键信息基础设施安全保护联盟标准管理办法（暂行）》的要求，依据GB/T

1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中关村华安关键信息基础设施安全保护联盟提出。

本文件由中关村华安关键信息基础设施安全保护联盟网络安全标准专业委员会技术归口和解释。

本文件起草单位：中关村华安关键信息基础设施安全保护联盟、中国工商银行股份有限公司、国网

思极网安科技（北京）有限公司、中国电子科技集团公司第十五研究所信息产业信息安全测评中心、中

国移动通信集团有限公司、中广核数字科技有限公司、中国人民财产保险股份有限公司、中国电力科学

研究院有限公司、国家工业信息安全发展研究中心、中国电信集团有限公司、教育部教育管