引??言

隨著信息通信技術的普及應用，加強ICT供應鏈的安全可控保障變得至關重要。目前，世界各國和ICT行業已普遍認識到，ICT供應鏈存在安全風險，需要加強ICT供應鏈安全管理，增強客戶對ICT供應鏈的信任。

與傳統供應鏈相比，ICT供應鏈具有許多不同的特點，例如：一是ICT供應鏈涵蓋了ICT產品服務的全生命周期，不僅包括傳統供應鏈的生產、銷售、交付等供應階段，也包括產品服務的設計開發階段和售后運維階段。二是許多ICT產品由全球分布的供應商開發、集成或交付，ICT供應鏈的全球分布性使得客戶對供應鏈的理解能力和安全風險控制能力在下降。三是傳統供應鏈主要關注如何將產品有效交付給客戶，或者供應鏈是否具有健壯性，而ICT供應鏈安全更關注是否會將額外功能注入產品或服務，交付的產品或服務是否一致等。這些特點使得ICT供應鏈比傳統供應鏈存在更多的安全風險，需要對ICT供應鏈的安全風險加強管理。

本標準在GB/T 31722-2015《信息技術 安全技術 信息安全風險管理》的指導下，參考了相關國內外標準的技術內容，旨在針對ICT供應鏈的特點，細化ICT供應鏈安全風險管理的過程和控制措施，包括列舉ICT供應鏈的主要安全威脅和脆弱性，細化ICT供應鏈安全風險管理的步驟和實施細則，給出ICT供應鏈安全風險控制措施集合等，為ICT產品服務的需方或供方提供管理ICT供應鏈安全風險的實施指南。

ICT產品和服務的供方或需方宜在滿足GB/T 31722-2015規定的組織信息安全風險管理要求的基礎上，按照本標準規范對ICT供應鏈的安全風險進行管理。關于信息技術產品供應方的安全行為準則不在本標準中規范。本標準推薦在關鍵信息基礎設施或重要信息系統中使用。然而，由于個別需要和相關性，組織可選擇將指南應用到其他系統或特定組件，不過應用本指南的控制措施可能會增加組織和外部供應商的潛在成本，需要組織在成本和風險間進行權衡。