《信息安全技術 軟件供應鏈安全要求》（征求意見稿）發布

軟件供應鏈是一個全球分布的、具有供應商多樣性、產品服務復雜性、全流程覆蓋等諸多特點的復雜系統，在軟件供應鏈各個供應活動中均可能引入安全隱患，導致軟件漏洞、軟件后門、惡意篡改、假冒偽劣、知識產權風險、供應中斷、信息泄露等安全風險。

隨著軟件的復雜度不斷提高，軟件產品內部開發過程中產生的以及從上游繼承的軟件漏洞無法避免，這些軟件漏洞可能被攻擊者利用，對軟件以及計算機系統造成嚴重的安全風險。

在此背景下，近日，全國信息安全標準化技術委員會發布了《信息安全技術 軟件供應鏈安全要求》（征求意見稿）（以下簡稱《安全要求》）。

《安全要求》給出了軟件供應鏈安全保護目標，規定了軟件供應鏈組織管理和供應活動管理的安全要求；適用于指導軟件供應鏈中的需方、供方開展組織管理和供應活動管理，可為第三方機構開展軟件供應鏈安全測試和評估提供依據，也可為主管監管部門提供參考。

《安全要求》指出，軟件供應鏈安全目標是識別和防范供應關系和供應活動中面臨的安全風險，提升軟件供應鏈安全保障能力，主要包括：

• 提升軟件產品或服務中斷供應等風險管理能力：識別和防范供應關系建立及供應活動中軟件產品和服務供應中斷的管理安全風險，提升軟件供應鏈的韌性，當軟件供應鏈中斷或部分失效時，能夠保障業務持續穩定運行；
• 提升供應活動引入的技術安全風險管理能力：識別和防范由于供應關系或供應活動變化導致的軟件漏洞、后門、篡改、偽造等技術安全風險，提升軟件供應鏈的可追溯性、安全性，一旦發現上述風險，可以快速有效追溯和修復；
• 提升軟件供應鏈數據安全風險管理能力：識別和防范供應關系和供應活動中存在的數據泄露、數據篡改、非法訪問等安全風險，提升軟件供應鏈數據安全保護能力，防止軟件供應鏈的數據泄露給未授權者；

針對組織管理，《安全要求》提出相應的安全要求。

機構管理：

• 需方應明確軟件供應鏈安全管理機構，明確其職責及人員，并提供用于軟件供應鏈安全管理的資金、資產和權限等可用資源，保障軟件供應鏈安全管理工作順利執行；
• 需方應組織開展常態化軟件供應鏈實體要素識別，以及供應關系、供應活動的安全風險識別、處置和防范等工作，組織構建并管理軟件構成圖譜（見附錄B），充分掌握組織的軟件供應鏈安全風險；
• 需方應持續加強軟件供應鏈安全能力建設，包括但不限于供應關系管理，軟件供應鏈實體要素識別，軟件供應鏈風險識別、響應及防范等能力，持續提升自身軟件供應鏈安全保障能力；
• 對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜設立專職的軟件供應鏈管理機構，根據a)至c)條款開展全流程軟件供應鏈安全管理工作。

制度管理：

• 需方應圍繞軟件供應鏈風險識別和防范明確軟件供應鏈安全的總體方針、安全制度和策略，包括但不限于開展軟件供應鏈安全監督、管理和檢查等內容，并及時修訂更新；
• 需方應制定軟件供應關系的安全管理制度，包括但不限于自主研發軟件、現貨類軟件、定制開發軟件等相關供應關系的風險管理制度、流程或機制；
• 需方應制定軟件供應活動的安全管理制度，包括但不限于軟件采購、交付、運維等軟件供應活動的風險管理制度、流程或機制；
• 需方應制定軟件供應鏈參與人員的管理制度或機制，包括但不限于人員權限、能力、資質、背景、技能培訓等內容；
• 需方應制定知識產權管理制度，包括但不限于專利、軟件著作權、許可協議等內容；
• 需方應制定軟件供應鏈安全風險的持續監測、風險評估和事件響應制度，包括但不限于應急處理流程、系統恢復流程等內容；
• 需方應明確不同等級安全事件的報告、處置和響應流程和機制，規定安全事件的現場處理、事件報告和后期恢復等要求；
• 對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜制定全流程軟件供應鏈軟件安全監管制度，覆蓋軟件供應鏈的全部供應活動。

人員管理：

需方應明確軟件供應鏈安全保障人員及其需具備的軟件供應鏈實體要素的識別和安全風險管理能力，包括但不限于軟件資產識別分析、完整性保護以及軟件漏洞和后門分析等；

• 需方應劃分軟件供應鏈各供應活動參與人員的職責定位、權限級別，并建立操作規范，創建操作日志；
• 需方應定期開展軟件供應鏈安全培訓，培訓內容包括但不限于a)、b)中涉及的內容；
• 對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜配置軟件供應鏈安全保障團隊，根據需要開展相關人員的背景調查工作；
• 對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜要求安全保障人員具備防范全流程軟件供應鏈安全威脅的能力，如軟件供應鏈恢復、未知安全漏洞分析、軟件持續供應能力分析等。