5.17 供應鏈保護

5.17.1 一般要求

云服務商應：

a）注明有哪些外包的服務或采購的產品對云計算服務的安全性存在重要影響。

b）確保[賦值：云服務商定義的重要設備]通過[賦值：政府有關部門已設立的信息安全測評或審查制度]的安全檢測。

c）對重要的信息系統、組件或服務實施[賦值：云服務商定義的供應鏈保護措施]，根據實際情況，供應鏈保護措施可以是：

• 1）對產品的開發環境、開發設備以及對開發環境的外部連接實施安全控制。

• 2）對開發商進行篩選，對開發人員進行審核。人員篩選的準則包括：無過失、可靠或稱職的官方證明、良好的背景審查、公民身份和國籍。開發商的可信任度還包括對公司所有制的審查和分析，對其與其他實體間關系的審查和分析。

• 3）在運輸或倉儲時使用防篡改包裝。

5.17.2 增強要求

云服務商應：

a）實施[賦值：云服務商定義的采購策略、合同工具和采購方法]。在此過程中，可考慮以下幾方面因素：

• 1）優先選擇滿足下列條件的供應商：

• • i）保護措施符合法律、法規、政策、標準以及云服務商的安全要求。
• • ii）企業運轉過程和安全措施相對透明。
• • iii）對下級供應商、關鍵組件和服務的安全提供了進一步的核查。
• • iv）在合同中聲明不使用有惡意代碼產品或假冒產品。

• 2）縮短采購決定和交付的時間間隔。

• 3）使用可信或可控的分發、交付和倉儲手段。

• 4）限制從特定供應商或國家采購產品或服務。

b）在簽署合同前對供應商進行審查，根據實際情況，包括但不限于：

• 1）分析供應商對信息系統、組件和服務的設計、開發、實施、驗證、交付、支持過程。

• 2）評價供應商在開發信息系統、組件或服務時接受的安全培訓和積累的經驗，以判斷其安全能力。

c）采用[賦值：云服務商定義的保護措施]，以降低攻擊者利用供應鏈造成的危害。根據實際情況，保護措施包括但不限于：

• 1）優先購買現貨產品，避免購買定制設備。

• 2）在能提供相同產品的多個不同供應商中做選擇，以防范供應商鎖定風險。

• 3）選擇有聲譽的企業，建立合格供應商列表。

d）在選擇、接受或更新信息系統、組件或服務前對其進行評估，如檢測、評估、審查和分析，以發現惡意代碼等隱患。評估還可包括：靜態分析，動態分析，仿真，白盒、灰盒和黑盒測試，模糊測試，滲透性測試等。

e）綜合分析各方面的信息，包括執法部門披露的信息、信息安全通報、應急響應機構的風險提示等，以發現來自開發、生產、交付過程以及人員和環境的風險。該分析應盡可能覆蓋到各層供應商和候選供應商。

f）采用[賦值：云服務商定義的保護措施]，保護供應鏈相關信息，包括：用戶身份、信息系統、組件或服務的用途、供應商身份、供應商處理過程、安全需求、設計說明書、測評結果、信息系統或組件配置等信息。在制定保護措施時，應確定哪些信息可通過匯聚或推導分析而獲得供應鏈關鍵信息，并采取針對性的措施予以防范，如向供應商屏蔽關鍵信息，采取匿名采購或委托采購。

g）采用[賦值：云服務商定義的保護措施]確認所收到的信息系統或組件真實且未被改動，如光學標簽等。對于硬件，應要求供應商提供詳細和完整的組件清單和產地清單。

h）對與信息系統、組件或服務相關的[賦值：云服務商定義的供應鏈單元、過程和參與者]實施分析或測試，包括獨立第三方分析或滲透性測試。供應鏈單元是包含可編程邏輯電路的關鍵產品或組件。供應鏈過程包括：硬件、軟件和固件開發過程；運輸和裝卸過程；人員和物理安全程序；以及涉及到供應鏈單元生產或發布的其他程序。供應鏈參與者是供應鏈中具有特定角色和責任的獨立個體。

i）采取有關措施（如簽訂協議），使供應鏈安全事件信息或威脅信息能夠及時傳達到供應鏈上的有關各方。

j）確保與供應商簽訂的服務水平協議（SLA）中的相關指標，不低于擬與客戶所簽訂的SLA協議中的相關指標。

k）使用[賦值：云服務商定義的保護措施]確保[賦值：云服務商定義的關鍵信息系統組件]的充分供給。根據實際情況，保護措施包括但不限于：

• 1）使用多個供應商提供的關鍵組件。

• 2）儲備足夠的備用組件。

• l）建立和留存對[賦值：云服務商定義的供應鏈單元、過程和參與者]的唯一標識。

m）當變更供應商時，對供應商變更帶來的安全風險進行評估，并采取有關措施對風險進行控制。