| 标准编号 | RB/T 221-2023 (RB/T221-2023) | | 中文名称 | 信息技术产品供应链安全评价规范 | | 英文名称 | Evaluation specifications for security of information technology product supply chain | | 行业 | Chinese Industry Standard (推荐) | | 中标分类 | A00 | | 国际标准分类 | 03.120.20 | | 字数估计 | 16,156 | | 发布日期 | 2024-05-20 | | 实施日期 | 2024-07-01 | | 发布机构 | 国家认证认可监督管理委员会 | RB/T 221-2023: 信息技术产品供应链安全评价规范
ICS 03.120.20
CCSA00
中华人民共和国认证认可行业标准
信息技术产品供应链安全评价规范
2024-05-20发布
2024-07-01实施
国家认证认可监督管理委员会 发 布
中 国 标 准 出 版 社 出 版
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 评价内容 2
5 评价方法 3
6 评价结果 7
参考文献 8
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由国家认证认可监督管理委员会提出并归口。
本文件起草单位:中国网络安全审查认证和市场监管大数据中心、上海市信息安全测评认证中心、
中国电子科技集团第十五研究所(信息产业信息安全测评中心)、北京天融信网络安全技术有限公司、北
京中电华大电子设计有限责任公司、美的集团股份有限公司。
本文件主要起草人:申永波、王峰、徐佟海、董晶晶、安高峰、张俊彦、朱在鹏、杨坤、张玉朋、薛路刚、
于毅、刘思蓉、兰丹妮。
引 言
目前,世界各国和信息技术行业已普遍认识到,信息技术产品供应链存在安全风险,因此加强信息
技术产品的供应链安全管理,增强客户对供应链的信任,变得至关重要。
信息技术产品供应链安全是体现信息技术产品安全保障能力的一个重要方面,但信息技术产品安
全认证实施过程中,对信息技术产品供应链的安全评价尚不完善,缺少统一的安全评价标准指导实际工
作,因此研究制定信息技术产品供应链安全评价规范迫在眉睫。
信息技术产品供应链安全评价规范
1 范围
本文件规定了信息技术产品供应方供应链安全的评价内容、评价方法和评价结果。
本文件适用于认证机构在信息技术产品安全认证过程中对产品供应方供应链的安全评价。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069-2022 信息安全技术 术语
GB/T 32921-2016 信息安全技术 信息技术产品供应方行为安全准则
GB/T 36637-2018 信息安全技术 ICT供应链安全风险管理指南
3 术语和定义
GB/T 25069-2022、GB/T 32921-2016和GB/T 36637-2018界定的以及下列术语和定义适用
于本文件。
3.1
具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统。
注:信息技术产品包括计算机及其辅助设备、通信设备、网络设备、自动控制设备、操作系统、数据库、应用软件等。
[来源:GB/T 32921-2016,3.1,有修改]
3.2
从信息技术产品供应方获取产品的组织。
[来源:GB/T 36637-2018,3.1,有修改]
3.3
产品供应方
提供信息技术产品的组织。
注:产品供应方主要包括信息技术产品供应商、生产商等。
[来源:GB/T 3663......
|