附 錄 A （資料性附錄） ICT供應鏈概述

A.1 ICT供應鏈結構

ICT供應鏈，是一個由多個上游與下游組織相互連接形成的網鏈結構，如圖A.1所示。供應鏈中的組織是參與到供應鏈環節中的實體，通常包括需方和供應商（供方）兩種角色。需方與供應商之間存在供應關系，即需方從供應商購買ICT產品或服務，供應商根據與需方簽訂的協議提供相應產品、系統或服務。在供應鏈中，一個組織可能既是上游組織的需方，也是下游組織的供應方，與其上游、下游均存在供應商關系，因此供應鏈也是由連續的供應商關系組成的網鏈結構。供應鏈的終點需方也被稱為終端客戶，為終端客戶直接提供產品、系統或服務的供應商為一級供應商（也稱為直接供應商）。一級供應商的供應商為二級供應商，依此類推，他們與終端客戶存在間接供應商關系。而隨著供應商層級的增多，需方對ICT供應鏈的透明度、理解能力都在降低，從而使得對ICT供應鏈安全風險的控制能力也在下降。

圖A.1 ICT供應鏈結構示意圖

A.2 ICT供應鏈特點

由于信息通信技術的特點，相對于傳統領域的實體供應鏈，ICT供應鏈有其特殊性，主要體現在：

a） 全球分布性。隨著ICT產業的全球化發展，許多ICT產品（如手機、個人計算機、服務器等）均由全球分布的供應商開發、集成和交付。例如，計算機芯片可能在一個國家或地區設計，在另一個地方制造，然后在其他國家與軟件一起裝載，并倉儲于全球多個地點，為世界各地的需方進行產品供應。

b） 全生命周期。ICT供應鏈涵蓋了ICT產品、系統或服務從無到有再到廢棄的整個生命周期，不僅包含傳統供應鏈的計劃、獲取、制造、交付、返回等流程，還延伸到系統開發的生命周期，以及產品或服務交付后的運營維護過程。可以說，ICT供應鏈以ICT產品、系統或服務的規劃或設計為起點，經過開發、采購、外包、制造、集成、實施、分發、安裝、維護、終止等環節，最終將通信技術的產品、系統或服務交付給需方。

c） 產品服務復雜。ICT產品、系統和服務的類型多樣、構成復雜。軟件產品如操作系統、數據庫、辦公套件等，且通常由多個組件構成；硬件產品如路由器、打印機、服務器等，通常由多個零部件組裝而成；信息系統通常由多個軟件、硬件產品集成；云計算服務則包括多個軟硬件產品和若干信息系統。例如，手機上一個可識別指紋的Home鍵，就由藍寶石、金屬邊環、Touch ID傳感器、驅動芯片、加固件、柔性電路、按鈕開關7個模塊組成。

d） 供應商多樣性。在ICT供應鏈的設計、開發、采購、制造、集成、倉儲、分銷、退回等多個環節中，不同類型的供應商均參與其中，包括但不限于產品供應商、服務提供商、系統集成商、銷售商、制造工廠、物流供應商、配送中心、分銷商、批發商等。

上述特點使得ICT供應鏈成為一個遍布全球，并具有供應商多樣性、產品服務復雜性、全生命周期覆蓋性這三維特性的復雜系統。任何一維的任一環節出現問題，例如供應鏈中的任一供應商、產品/服務中的任一組件、系統生命周期的任一階段出現安全隱患，都可能造成ICT產品、系統或服務不安全，導致ICT供應鏈安全風險。因此，與傳統領域的實體供應鏈相比，ICT供應鏈面臨更多的安全風險。

A.3 ICT供應鏈范圍和供應商類型

雖然從廣義來說，ICT供應鏈的范圍包含產品、系統或服務中所有部件在其生命周期各環節中涉及的所有供應商。但是考慮到組織實踐和管理成本，需方可根據組織的業務目標自行劃分ICT供應鏈的管理范圍，對其組織范圍內的ICT產品、系統或服務的創建、維護、終止等全生命周期過程涉及的供應商關系進行管理。例如一些組織只關注與其存在直接供應商關系的供應商，以及重要組件的供應商。而其他一些組織，可能由于業務的考慮，將ICT供應鏈的范圍延伸到存在間接供應商關系的二級供應商、三級供應商等。

但需要注意的是，較小的供應鏈范圍雖然可以簡化風險管理流程，減少風險管理的成本，但也可能造成風險管理的失控。例如，需方如果只管理直接關聯的供應商，可能無法避免由上游供應商引入的ICT產品或服務風險。而如果將ICT產品中所有部件均納入ICT供應鏈范圍，雖然可覆蓋供應鏈的多個層次，但可能造成管理成本的明顯上升和流程復雜度的增加，從而導致風險管理難以執行。

從終端客戶的角度來看，終端客戶的直接供應商或ICT供應鏈中的品牌擁有者宜承擔供應鏈安全的主要責任。與需方存在直接供應商關系的供應商，通常可分為三種類型：

a） 產品供應商。為需方提供ICT產品的供應商。根據產品類型不同，產品供應商通常分為軟件供應商、硬件供應商、網絡供應商等，而根據產品形態不同，又可分為商用現貨（commercial off-the-shelf，COTS）、政府現貨(government off-the-shelf，GOTS)、定制產品、開源產品等。

b） 系統集成商。針對需方的需求，提供定制解決方案或服務的實體，如設備系統集成商、應用系統集成商等。系統集成商提供的解決方案通常融合了許多層面的供應商。

c） 服務提供商。為需方提供信息通信技術服務的供應商，如代維服務、云計算服務等。