5　總則

ICT供應鏈是一個全球分布的，具有供應商多樣性、產品服務復雜性、全生命周期覆蓋性等多維特點的復雜系統，相關概述說明詳見附錄A。在供應鏈中，一個組織可能既是上游組織的需方，也是下游組織的供方，與其上游、下游均存在供應關系。供應鏈的最終需方也被稱為終端客戶。為終端客戶直接提供產品或服務的供應商是一級供應商，一級供應商與終端客戶之間存在直接供應關系。一級供應商的供應商為二級供應商，依此類推，他們與終端客戶存在間接供應關系。而隨著供應商層級的增多，需方對ICT供應鏈的透明度、理解能力都在降低，從而使得對ICT供應鏈安全風險的控制能力也在下降。從終端客戶的角度來看，終端客戶的一級供應商或ICT供應鏈中的品牌擁有者宜承擔供應鏈安全的主要責任。因此，本標準主要對重要信息系統和關鍵信息基礎設施的ICT供方管理其供應鏈安全風險進行規范，而關鍵信息基礎設施的運營者則可在自身安全風險管理中考慮其供應鏈安全風險管理。

ICT供應鏈相比傳統供應鏈面臨更多的安全風險，宜加強對ICT供應鏈安全風險管理，重點實現以下目標：

a） 完整性：確保在ICT供應鏈所有環節中，產品、系統、服務及其所包含的組件、部件、元器件、數據等不被植入、篡改、替換和偽造。

b） 保密性：確保ICT供應鏈上傳遞的信息不被泄露給未授權者。

c） 可用性：確保需方對ICT供應鏈的使用不會被不合理的拒絕。一方面，確保ICT供應鏈按照與需方簽訂的協議能夠正常供應，不易被人為或自然因素中斷，也稱為可供應性；另一方面，即使在ICT供應鏈部分失效時，仍能保持連續供應且快速恢復到正常供應狀態的能力，也稱為彈性。

d） 可控性：是指需方對ICT產品、服務或供應鏈的控制能力。可控性包括供應鏈可追溯性，即一旦ICT供應鏈發生問題，可以有效識別哪個環節、哪個供應商、哪個組件出現了問題，并可進行追溯或修復。可控性，也包括需方對供應鏈信息的理解或透明度，用戶對自己數據的支配能力，用戶對自己所擁有和使用產品的控制能力，用戶對使用產品和服務的選擇權，產品和服務的行為與合同協議相符等。