7.2 技術安全措施

7.2.1 物理與環境安全

組織宜：

a） 確保外部人員訪問ICT供應鏈基礎設施受控區域前得到授權或審批，由專人全程陪同，并登記備案；

b） 及時更新供方對ICT供應鏈基礎設施的物理訪問權限；

c） 評估系統集成商是否具有物理與環境安全策略，是否具有持續保證物理與環境安全的能力，并通過合同協議對系統集成商的物理與環境安全進行要求；

d） 具有備用的工作場所、通信線路和供應鏈管理信息系統，防止自然災害或不可抗力的外因導致供應鏈中斷。

7.2.2 系統與通信安全

組織宜：

a) 具備邊界保護機制，保護ICT供應鏈基礎設施內的物理連接和邏輯連接。

b) 定期開展ICT供應鏈基礎設施邊界安全脆弱性評估及抽樣檢查，并及時采取糾正措施；

c) 如在ICT供應鏈基礎設施中采用密碼技術的，宜符合國家密碼管理相關規定。

d) 使用多個供應來源以提高通信系統組件可用性，減少ICT供應鏈基礎設施受損害的影響；

e) 宜確保供應鏈關鍵信息的傳輸安全，采取安全措施保證信息傳輸機密性。

7.2.3 訪問控制

組織宜：

a) 建立用戶的賬戶管理體系，包括用戶注冊、角色管理、權限和授權管理和身份鑒別等措施；

b) 在系統集成商、供應商和外部服務提供商發生變更的情況下，更新訪問權限等控制措施；

c) 在信息系統及ICT供應鏈決策過程明確職責定位；

d) 在職責定位的基礎上，采取最小權限和授權機制；

e) 監控、審核和記錄從外部對ICT供應鏈基礎設施相關的訪問；

f) 根據組織的信息安全策略制定訪問控制協議要求，并對訪問協議進行定期更新。如明確系統集成商和外部供應商對信息系統和ICT供應鏈基礎設施的訪問級別；

g) 限制組織內設備在外部信息系統中的使用；

h) 依據不同的訪問級別，把ICT供應鏈基礎設施的接口，選擇性地提供給系統集成商、供應商和外部服務提供商；

i) 使用自動化方式實現賬戶管理，包括進行包括通知變更、禁用過期賬戶、自行審核高危操作和超時自動注銷等；

j) 從供應鏈角度，對組織與外部供應商互連的信息系統和操作任務進行核查和記錄，包括了解與各類供方的組件/系統連接狀況、共同開發和操作環境、共享的數據請求和檢索事務等。

7.2.4 標識與鑒別

組織宜：

a） 對組織供應鏈基礎設施的系統或人員分配身份標識，對訪問ICT供應鏈基礎設施的用戶（包括組織內部用戶、外部供應商用戶等）進行身份標識和鑒別。

b） 管理ICT供應鏈基礎設施內非組織用戶的用戶身份標識和認證的建立、審計、使用和撤銷；

c） 對交付前產品標識的改變提供相應的規則，使所交付的產品在ICT供應鏈中可進行監管鏈驗證；

d） 對設備和組件分配產品標識，使用編碼、條碼、ID或者組織自定義的其他標識，包括：

1) 對于軟件開發，宜為已實現配置項識別的組件分配產品標識；

2) 對于設備和操作系統，宜在其進入組織的ICT供應鏈框架時分配產品標識，例如通過運輸、接收或下載完成時。

7.2.5 供應鏈完整性保護

組織宜：

a) 對可能造成ICT供應鏈基礎設施破壞的行為進行監控（如外部攻擊或軟件開發過程中植入的惡意代碼）；

b) 對信息系統和組件的完整性進行測試和驗證（如使用數字簽名或校驗和機制），或使用有限權限環境（如沙箱）等；

c) 確保實施代碼認證機制，如數字簽名，以確保ICT供應鏈框架和信息系統的軟件、固件和信息的完整性；

d) 直接從經過驗證的源獲取二進制或機器可執行代碼；

e) 采取硬件完整性保護措施，如硬件拆箱保護；

f) 驗證集成商、供應商和外部服務提供商提供的篡改保護機制。

7.2.6 可追溯性

組織宜：

a) 建立和維護可追溯性的策略和程序，記錄和保留信息系統、組件或ICT供應鏈中產品和服務的原產地或原提供商的相關信息；

b) 對于追溯源的改變，跟蹤、記錄并通知到有關供應鏈干系人；

c) 確保追溯到對信息系統或ICT供應鏈中組件、工具、數據和過程有影響的個人；

d) 確保可追溯信息和可追溯更改記錄的抗抵賴性，包括時間、用戶信息等；

e) 建立可追溯基線，對組件、系統以及整個供應鏈進行記錄、監測和維護；并將可追溯基線嵌入供應鏈流程和相關信息系統；

f) 使用多種可重復的方法跟蹤追溯源的變更，包括變更的數量和頻率，減少“開/關”過程和程序以及人為錯誤。例如，配置管理數據庫可用于跟蹤對軟件模塊、硬件組件和文檔的更改。