3　術語和定義

GB/T 25069-2010和GB/T 31722-2015界定的以及下列術語和定義適用于本文件。

從其他組織獲取產品或服務的組織或個人。

注1：獲取可能涉及或不涉及資金交換。

注2：重要信息系統或關鍵信息基礎設施的運營者，通常是從ICT供方獲取ICT產品或服務的需方。

提供信息通信技術產品或服務的組織。

注1：供方也可稱供應商、供應方。

注2：供方可以是組織內部的或外部的。

注3：ICT供方包括產品供應商、服務提供商、系統集成商、生產商、銷售商、代理商等。

是指在需方和供方之間的協議，可用于開展業務，提供產品或服務，實現商業收益。

注1：需方和供方可以是同一個機構。

注2：在供應鏈中，上游機構的需方同時也是下游機構的供方。終端客戶是可以理解為一種特殊的需方。

即ICT產品和服務的供應鏈，是指為滿足供應關系通過資源和過程將需方、供方相互連接的網鏈結構，可用于將信息通信技術的產品、服務提供給需方。

供應鏈安全威脅利用供應鏈及其管理體系中存在的脆弱性，導致供應鏈安全事件的發生及其對組織造成的影響。

指導和控制組織與供應鏈安全風險相關問題的協調活動。

ICT產品或服務從無到有再到廢棄的全生命周期涉及的供應鏈活動。

注1：ICT供應鏈生命周期，不僅包含傳統供應鏈的生產、集成、倉儲、銷售、交付等流程，還包括產品或服務設計開發的過程，及產品或服務交付后的運營維護過程。

注2：ICT供應鏈，通常以ICT產品或服務的規劃或設計為起點，經過開發、采購、外包、生產、集成、倉儲、銷售、交付等環節將產品或服務交付給需方，并對產品或服務進行安裝、維護等直至其廢棄。

由組織內的硬件、軟件和流程等構成的集合，用于構建產品或服務的開發、生產、測試、部署、維護、報廢等系統生命周期的環境。

注1：ICT供應鏈基礎設施，主要包括組織內部支撐ICT供應鏈生命周期的信息系統和物理設施，如供應鏈管理信息系統、采購管理系統、軟件開發環境、零部件生產車間、產品倉庫等。

注2：ICT供應鏈信息系統，屬于ICT供應鏈基礎設施，是由計算機、其他信息終端、相關設備、軟件和數據等組成的，按照一定的規則和程序支撐產品或服務的開發、采購、生產、集成、倉儲、交付、維護、外包等供應鏈生命周期的系統。

本文章首發在網安wangan.com 網站上。