内容简介
ICS 35.240.01 T/CSAC CCS L78
中 华 人 民 共 和 国
团 体 标 准
T/CSAC
004—2024
软件供应链安全要求测评方法
Testing and evaluating method for software supply chain security requirements
2024 - 7 - 31 发布
2024 - 7 - 31 实施
中国网络空间安全协会 发 布
T/CSAC
004—2024
目
次
前
言 ............................................................................ II
1 范围 ................................................................................. 1
2 规范性引用文件 ....................................................................... 1
3 术语和定义 ........................................................................... 1
4 概述 ................................................................................. 2
4.1 测评指标 ......................................................................... 2
4.2 测评对象 ......................................................................... 2
4.3 测评方法 ......................................................................... 2
4.4 测评结果 ......................................................................... 2
4.5 测评流程 ......................................................................... 2
4.6 测评结论 ......................................................................... 2
5 需方软件供应链安全要求测评方法 ....................................................... 2
5.1 组织管理 ......................................................................... 3
5.1.1 机构管理 ..................................................................... 3
5.1.2 制度管理 ..................................................................... 3
5.1.3 人员管理 ..................................................................... 5
5.1.4 供应商管理 ................................................................... 6
5.1.5 知识产权管理 ................................................................. 7
5.2 供应活动管理 ..................................................................... 8
5.2.1 基本流程 ..................................................................... 8
5.2.2 软件采购 ..................................................................... 8
5.2.3 软件获取 .................................................................... 10
5.2.4 软件运维 .................................................................... 12
5.2.5 软件废止 .................................................................... 14
6 供方软件供应链安全要求测评方法 ...................................................... 15
6.1 组织管理 ........................................................................ 15
6.1.1 机构管理 .................................................................... 15
6.1.2 制度管理 .................................................................... 16
6.1.3 人员管理 .................................................................... 17
6.1.4 知识产权管理 ................................................................ 18
6.2 供应活动管理 .................................................................... 19
6.2.1 基本流程 .................................................................... 19
6.2.2 软件开发 .................................................................... 19
6.2.3 软件交付 .................................................................... 22
6.2.4 软件运维 .................................................................... 25
6.2.5 软件废止 .................................................................... 26
参
考 文 献 ........................................................................ 28
I
前 言 T/CSAC 004—2024
本文件按照GB/T 1.1—2020《标准化工作导则
起草。
第1部分:标准化文件的结构和起草规则》的规定
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国网络空间安全协会提出。
本文件由中国网络空间安全协会归口。
本文件起草单位:中国信息安全测评中心、工业和信息化部第五研究所、京东科技信息技术有限公
司、统信软件技术有限公司、麒麟软件有限公司、深圳市金蝶天燕云计算股份有限公司、苏州棱镜七彩
信息科技有限公司、中移(杭州)信息技术有限公司、沈阳东软系统集成工程有限公司、北京数字认证
股份有限公司、三六零数字安全科技集团有限公司、中孚安全技术有限公司、拓尔思信息技术股份有限
公司、杭州网易智企科技有限公司、南京南瑞信息通信科技有限公司、北京航空航天大学。
本文件主要起草人:王晓萌、邵帅、崔静、高松、柴思跃、张磊、顾欣、廖晗、崔欣、刘芬芬、郑
伟娜、唐洪山、林琳、李伟彬、梁大功、黄浩东、徐倩华、蔡倩楠、杨万禄、马桤、庹鑫、贾彦生、沈
天翔、刘中、肖若楠、李娜、耿贵宁、张浩、马奥、王洪俊、朱浩奇、李雨珂、潘恒、徐文耀、关振宇、
李大伟。
II
T/CSAC
004—2024
软件供应链安全要求测评方法
1
范围
本文件确定了供需双方组织管理和供应活动管理安全要求的测评指标、测评对象和测评流程。
本文件适用于指导软件供应链中的供需双方开展软件供应链安全测评,可为第三方机构提供测评依
据,也可为主管监管部门提供参考。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
3 GB/T 25069—2022 信息安全技术 术语
GB/T 43698—2024 网络安全技术 软件供应链安全要求
术语和定义
GB/T 25069—2022 和 GB/T 43698—2024 中界定的以及下列术语和定义适用于本文件。
3.1
供应关系
supplier relation
需方和供方之间为开展业务、提供软件产品而建立的协议、合同等契约关系。
注:在供应链中,上游的需方同时也是下游的供方。
[来源:GB/T 43698-2024,3.5]
3.2
供应活动
supply activity
需方和供方为维持日常生产基于供应关系进行的软件采购、开发、获取、交付、运维、废止等活动
的总称。
[来源:GB/T 43698-2024,3.6]
3.3
软件供应链
software supply chain
需方和供方基于供应关系,开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形
成的网链结构。
[来源:GB/T 43698-2024,3.7]
3.4
软件供应链安全图谱
software supply chain security graph
1
T/CSAC
004—2024
软件产品信息、软件物料清单、安全信息等内容及其关联关系的描述和表示。
注:一般以文本形式存储,支持通过知识图谱方式展示。
[来源:GB/T 43698-2024,3.9]
4 概述
4.1 测评指标
GB/T 43698-2024中供需双方组织管理和供应活动管理的每条安全要求。
4.2
测评对象
测评指标涉及的人员、机构、制度、文件、软件产品等。
4.3
测评方法
测评方法主要包括以下三种:
a) 访谈:测评人员通过引导软件供应链安全保护能力测评相关人员进行有目的的交流,帮助测评
人员理解、澄清或取得证据,从而判定是否满足指标要求;
b) 核查:测评人员通过对测评对象,如制度、文件、软件产品等进行观察、查验和分析、帮助测
评人员理解、澄清或取得证据,从而判定是否满足指标要求;
c) 检测:测评人员使用完整性校验、访问控制分析、源代码安全缺陷检测、二进制代码漏洞分析
以及软件成分分析等技术使测评对象产生特定的结果,通过结果与预期结果比对,从而判定是否满足测
评指标要求。
4.4
测评结果
测评结果包括:
a) 完全符合:通过对测评对象的访谈、核查或检测,满足所有预期结果;
b) 部分符合:通过对测评对象的访谈、核查或检测,满足部分预期结果;
c) 不符合:通过对测评对象的访谈、核查或检测,不满足任何预期结果;
d) 不涉及:与测评指标的所有内容不相关。
4.5
测评流程
采用测评方法对测评对象实施访谈、核查或检测并给出测评结果的过程。
4.6
测评结论
参考GB/T 43698-2024附录D对软件供应链安全图谱级别的划分,汇总测评结果给出如下测评结论:
a) 软件供应链安全保障能力达到基础级:组织管理和供应活动安全要求完全符合及部分符合项数
不少于测评总项数的80%,软件供应链安全图谱符合基础级图谱要求;
b) 软件供应链安全保障能力达到通用级:组织管理和供应活动安全要求完全符合及部分符合项数
不少于测评总项数的80%,软件供应链安全图谱符合通用级要求;
c) 软件供应链安全保障能力达到增强级:组织管理和供应活动安全要求完全符合及部分符合项数
不少于测评总项数的80%,软件供应链安全图谱符合增强级要求。
5
需方软件供应链安全要求测评方法
2
5.1 组织管理 T/CSAC 004—2024
5.1.1 机构管理
5.1.1.1 测评项 a
本项测评内容包括:
a) 测评指标:应明确软件供应链安全管理组织机构或人员及其职责范围,提供保障软件供应链安
全所需的资源(如有关资金、场地、人力等),并在预算管理过程中予以重点考虑。
b) 测评流程:访谈信息/网络安全主管,核查管理制度以及表单等文件;
c) 预期结果:具有软件供应链安全管理组织机构、人员和职责分工以及资金支持。
5.1.1.2
测评项 b
本项测评内容包括:
a) 测评指标:应组织构建并管理软件供应链安全图谱,定期(至少每年一次)开展软件供应链安
全检测、风险评估等软件供应链安全风险管理工作,包括但不限于软件成分分析、源代码和二进制代码
安全漏洞分析等。
b) 测评流程:访谈信息/网络安全主管,核查安全检测报告,检测软件供应链安全图谱。
c) 预期结果:
1) 开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作不少于1次;
2) 具有软件成分分析、源代码和二进制代码安全漏洞分析等至少一项安全检测或风险评估报
告;
3) 至少具有软件资产清单、软件物料清单或软件供应链安全图谱中的一项。
5.1.1.3
测评项 c
本项测评内容包括:
a) 测评指标:应及时制定、修订、宣贯、执行各项软件供应链安全管理制度、流程以及机制。
b) 测评流程:访谈信息/网络安全主管,核查管理制度文件和执行情况。
c) 预期结果:
1) 具有软件供应链安全管理制度、流程以及机制,并有宣贯记录;
2) 具有执行和修订情况的记录。
5.1.1.4
测评项 d
本项测评内容包括:
a) 测评指标:对于重要或核心业务场景,宜设立专职软件供应链管理机构开展软件供应链安全管
理工作。
b) 测评流程:访谈信息/网络安全主管、核查管理制度文件。
c) 预期结果:
1) 设立专职软件供应链管理机构;
2) 对组织机构和人员有明确的职责划分。
5.1.2 制度管理
5.1.2.1 测评项 a
本项测评内容包括:
3
T/CSAC
004—2024
a) 测评指标:应确定软件供应链安全的总体方针、安全制度和策略(可作为单独的文件,也可作
为相关文件中的一部分),至少包括软件资产管理、软件供应链安全风险识别处置、监督检查等内容。
b) 测评流程:核查管理制度文件。
c) 预期结果:制度中具有软件资产管理、软件供应链安全风险识别处置、监督检查等内容。
5.1.2.2
测评项 b
本项测评内容包括:
a) 测评指标:应制定软件供应链安全风险持续监测、风险评估和事件响应制度,明确不同等级安
全事件的报告、处置、响应的流程和机制,规定安全事件的现场处理、事件报告和后期恢复等要求。
b) 测评流程:核查管理制度类文件。
c) 预期结果:
1) 具有不同等级安全事件的报告、处置、响应的流程和机制;
2) 具有安全事件的现场处理、事件报告和后期恢复等内容。
5.1.2.3
测评项 c
本项测评内容包括:
a) 测评指标:应制定软件采购、获取、运维、废止等供应活动安全管理制度,例如安全开发、交
付部署和验收、故障处理和维护升级等管理制度、规程或机制。
b) 测评流程:核查管理制度文件。
c) 预期结果:具有软件采购、获取、运维、废止等供应活动中的相关安全要求。
5.1.2.4
测评项 d
本项测评内容包括:
a) 测评指标:应将软件供应链安全相关内容应纳入人员管理制度,例如人员权限、能力、资质、
背景、技能培训等;对于重要岗位人员(如采购人员、安全测试人员、配置管理人员、漏洞管理人员等)
应明确并开展背景审查工作的要求。
b) 测评流程:核查人员管理制度文件。
c) 预期结果:
1) 具有人员权限、技术能力、专业资质、安全背景、技能培训等要求;
2) 具有对采购、安全测试、配置管理、漏洞管理等人员背景审查的要求。
5.1.2.5
测评项 e
本项测评内容包括:
a) 测评指标:应制定供应商管理制度,包括但不限于供应商资质审核、供应商分类分级、供应商
不良行为处理等。
b) 测评流程:核查管理制度文件。
c) 预期结果:具有供应商资质审核、供应商分类分级、供应商不良行为处理等内容。
5.1.2.6
测评项 f
本项测评内容包括:
a) 测评指标:应制定知识产权管理制度,包括但不限于软件授权证书、专利、软件著作权、许可
协议等内容。
b) 测评流程:核查管理制度文件。
4
T/CSAC
004—2024
c) 预期结果:具有对专利、软件著作权、许可协议等制度内容。
5.1.3 人员管理
5.1.3.1 测评项 a
本项测评内容包括:
a) 测评指标:应明确人员需具备的软件供应链实体要素的识别和安全分析能力,如软件资产识别
分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等。
b) 测评流程:核查管理制度文件和记录表单类文档。
c) 预期结果:
1) 具有软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等至少一
项能力要求;
2) 具有软件供应链实体要素的识别和安全分析能力的考核记录。
5.1.3.2
测评项 b
本项测评内容包括:
a) 测评指标:应划分人员的职责定位、权限级别,采用最小授权机制并建立操作规范,创建操作
日志。
b) 测评流程:核查管理制度文件和记录表单类文档。
c) 预期结果:
1) 划分了软件供应链安全管理人员职责分工、权限级别;
2) 根据工作任务分配了最小权限;
3) 具有人员操作日志或记录。
5.1.3.3
测评项 c
本项测评内容包括:
a) 测评指标:应定期(至少每年一次)开展软件供应链安全和保密培训,培训内容包括但不限软
件供应链实体要素的识别和安全分析能力涉及的内容。
b) 测评流程:访谈信息/网络安全主管,核查管理制度文件和记录表单类文档。
c) 预期结果:
1) 开展了保密培训,具有培训记录,并记录了培训人员、培训内容、培训结果等描述;
2) 培训内容包含软件供应链实体要素识别或安全分析能力中至少一项。
5.1.3.4
测评项 d
本项测评内容包括:
a) 测评指标:应建立并执行离职离岗人员账号、权限、材料的交接和清理机制和规程。
b) 测评流程:核查管理制度文件、记录表单类文档,检测账号权限。
c) 预期结果:
1) 具有离职人员账号、权限、材料的交接和清理机制和规程;
2) 具有离职离岗人员停止其账号及访问权限、交还材料等记录;
3) 离职人员账号权限已不可用。
5.1.3.5
测评项 e
本项测评内容包括:
5
T/CSAC
004—2024
a) 测评指标:对于核心业务场景,宜配置软件供应链安全保障团队,并根据需要开展相关人员的
背景调查。
b) 测评流程:访谈信息/网络安全主管,核查记录表单类文档。
c) 预期结果:
1) 具有软件供应链安全保障团队;
2) 具有开展人员背景调查的内容、结果的记录。
5.1.3.6
测评项 f
本项测评内容包括:
a) 测评指标:对于核心业务场景,宜具备防范各类软件供应链安全风险能力,例如软件供应链恢
复、未知安全漏洞分析、软件持续供应能力分析等。
b) 测评流程:访谈信息/网络安全主管。
c) 预期结果:具有软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析能力中至少一项。
5.1.4 供应商管理
5.1.4.1 测评项 a
本项测评内容包括:
a) 测评指标:应分类分级建立合格的供应目录,对供应目录及相关信息进行集中管理,并定期或
按照实际需求进行更新维护。
b) 测评流程:核查管理制度文件、记录表单类文档。
c) 预期结果:
1) 具有供应目录以及供应商评价指标、评价方法、评价流程等制度;
2) 具有开展供应商评价或供应商分类分级的记录;
3) 具有定期或按照实际需求更新维护供应目录的记录。
5.1.4.2
测评项 b
本项测评内容包括:
a) 测评指标:应优先选择供应目录中满足条件的供应商。
b) 测评流程:核查管理制度类文件、记录表单文件。
c) 预期结果:规定优先选择供应目录中满足条件的供应商。
5.1.4.3
测评项 c
a) 测评指标:根据软件供应链中供应关系、供应活动的不同,供应商应符合供应活动安全要求。
b) 测评流程:核查管理制度文件。
c) 预期结果:具有软件开发、软件交付、软件运维和软件废止中至少一项制度内容。
5.1.4.4
测评项 d
本项测评内容包括:
a) 测评指标:应制定供应商选择策略和制度,对供应商进行风险分析,包括但不限于背景、资质、
能力以及能否持续安全提供产品或服务等方面的风险。
b) 测评流程:核查管理制度文件。
c) 预期结果:
1) 具有供应商选择策略或机制;
6
T/CSAC
004—2024
2) 具有背景、资质、能力等评估的要求和记录。
5.1.4.5
测评项 e
本项测评内容包括:
a) 测评指标:应要求供方开展软件供应链安全检测和风险评估工作,明确相关内容和范围;确需
第三方机构的,应明确对第三方机构的能力、资质等要求。
b) 测评流程:核查管理制度文件。
c) 预期结果:
1) 具有供方开展软件供应链安全检测和风险评估工作的要求;
2) 要求第三方机构对供方开展软件供应链安全检测和风险评估工作,并明确能力、资质要求。
5.1.4.6
测评项 f
本项测评内容包括:
a) 测评指标:应要求供方配合相关部门开展软件供应链安全审查、监督和检查。
b) 测评流程:核查管理制度文件。
c) 预期结果:具有供方配合相关部门开展软件供应链安全审查、监督和检查的要求。
5.1.4.7
测评项 g
本项测评内容包括:
a) 测评指标:应在供应关系、供应商股权等信息发生变更时,对变更带来的安全风险进行评估,
并采取相应的风险控制措施。
b) 测评流程:核查管理制度文件。
c) 预期结果:规定了在供应关系、供应商股权等信息发生变更时,对风险进行评估并采取相应的
风险控制措施。
5.1.4.8
测评项 h
本项测评内容包括:
a) 测评指标:应建立供应商替代方案或具备相应软件的自主维护能力,防范软件供应链中断风险。
b) 测评流程:核查管理制度文件。
c) 预期结果:规定了建立供应商替代方案或具备相应软件的自主维护能力的要求。
5.1.5 知识产权管理
5.1.5.1 测评项 a
本项测评内容包括:
a) 测评指标:应防止因知识产权问题导致的法律风险,或具备防范相应法律风险的能力和机制。
b) 测评流程:核查管理制度文件。
c) 预期结果:规定专利、软著、授权、许可证至少一项知识产权管理要求。
5.1.5.2
测评项 b
本项测评内容包括:
a) 测评指标:应充分熟悉所使用或在研软件产品和服务的知识产权,对知识产权进行规范管理,
防止侵权。
b) 测评流程:访谈知识产权管理人员。
7
T/CSAC
004—2024
c) 预期结果:
1)熟悉所使用或在研软件产品和服务的知识产权使用情况;
2)未发生专利侵权案件;
3)未违规使用开源组件。
5.1.5.3
测评项 c
本项测评内容包括:
a) 测评指标:在核心业务场景中,宜对所使用的软件产品或服务相关的国内外知识产权情况进行
详细识别分析,建立相关知识产权风险的应对方案。
b) 测评流程:核查管理制度文件、记录文件。
c) 预期结果:
1)具有对所使用的软件的知识产权情况进行详细识别分析的要求;
2)具有知识产权识别分析的记录;
3)建立了知识产权风险的应对方案。
5.2 供应活动管理
5.2.1 基本流程
5.2.1.1 测评项 a
本项测评内容包括:
a) 测评指标:应在开展供应活动前,以协议、合同等方式与供方建立供应关系。
b) 测评流程:核查协议、合同。
c) 预期结果:开展供应活动前签订了协议或合同。
5.2.1.2
测评项 b
本项测评内容包括:
a) 测评指标:应在协议、合同等文件中明确对供应活动的安全要求,并签署相应的保密协议。
b) 测评流程:核查协议、合同。
c) 预期结果:
1) 具有软件采购、获取、运维、废止等至少一类安全要求;
2) 具有有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。
5.2.1.3
测评项 c
本项测评内容包括:
a) 测评指标:应按照约定的内容和范围开展软件供应活动管理。
b) 测评流程:核查协议、合同执行记录。
c) 预期结果:按照软件采购、获取、运维、废止等的内容和范围开展相应供应活动。
5.2.2 软件采购
5.2.2.1 测评项 a
本项测评内容包括:
a) 测评指标:应邀请软件供应链安全、网络空间安全等领域专家(或具备相应网络空间安全能力
的评标人员)参与招标采购过程。
8
T/CSAC
004—2024
b) 测评流程:核查记录表单类文件。
c) 预期结果:评标人员中包含至少一位软件供应链安全、网络空间安全等领域专家。
5.2.2.2
测评项 b
本项测评内容包括:
a) 测评指标:应结合软件应用的实际业务场景,明确对软件供应链安全图谱的要求;需要供方提
供软件供应链安全图谱的应明确图谱的内容,如安全图谱的等级、可追溯层级等。
b) 测评流程:核查协议、合同。
c) 预期结果:
1) 具有软件供应链安全图谱中软件产品信息、软件物料清单或安全信息中至少一项要求;
2) 规定了安全图谱的等级、可追溯层级等内容。
5.2.2.3
测评项 c
本项测评内容包括:
a) 测评指标:应根据国家和行业已发布标准以及自身业务要求制定软件的安全需求基线和防护架
构,如软件应具备的安全防护能力、保护个人信息和重要数据等不被泄露的能力。
b) 测评流程:核查协议、合同。
c) 预期结果:明确了软件应具备的安全防护能力、防止个人信息和重要数据泄漏的能力需求。
5.2.2.4
测评项 d
本项测评内容包括:
a) 测评指标:应确定所采购软件的授权使用期限及相应的技术协助要求,在授权方式可选的条件
下,明确软件的激活、授权需求,优先选择离线永久激活模式,其次是完全在国内线上永久激活,再次
是完全在国内实现的周期性线上激活、国外线上激活(永久或周期性)。
b) 测评流程:核查协议、合同。
c) 预期结果:明确了所采购软件的授权方式、使用期限、技术协助要求。
5.2.2.5
测评项 e
本项测评内容包括:
a) 测评指标:应制定从多个源厂商获得兼容的产品和服务的方案,确保软件来源的多样性。对于
单一来源的软件,应制定风险消减措施。
b) 测评流程:核查记录表单类文档。
c) 预期结果:
1) 具备从多个源厂商获得兼容的产品和服务的方案;
2) 具有单一来源软件的风险消减措施。
5.2.2.6
测评项 f
本项测评内容包括:
a) 测评指标:对于定制研发软件,应要求供方具备安全开发相关资质或建立安全开发规范,建立
和维护安全的开发环境、建立工具和设备的安全管理和准入控制等。
b) 测评流程:核查协议、合同,访谈建设负责人。
c) 预期结果:
1) 规定了供方需具备安全开发相关资质或建立安全开发规范的要求;
9
T/CSAC
004—2024
2) 要求供方建立和维护安全的开发环境;
3) 要求供方建立和维护工具、设备的安全管理和准入控制策略。
5.2.2.7
测评项 g
本项测评内容包括:
a) 测评指标:应要求供方提供验证产品是否来自原厂商且获得许可的途径或方法。
b) 测评流程:核查记录表单类文档。
c) 预期结果:具有对供方提供验证产品来自原厂商且获得许可的途径或方法的要求。
5.2.2.8
测评项 h
本项测评内容包括:
a) 测评指标:应明确对运维技术团队及相应技术能力的要求,包括但不限于风险监测识别、漏洞
修复、完整性保护、安全测试等。
b) 测评流程:核查协议、合同。
c) 预期结果:对运维技术团队提出了风险监测识别、漏洞修复、完整性保护、安全测试等至少一
项能力要求。
5.2.2.9
测评项 i
本项测评内容包括:
a) 测评指标:应要求软件开发、交付、部署、测试等工具和设备具备可操作的替代方案。
b) 测评流程:核查协议、合同。
c) 预期结果:具有软件开发、交付、部署、测试等工具和设备具备可操作的替代方案的要求。
5.2.2.10
测评项 j
本项测评内容包括:
a) 测评指标:应考虑政治、外交、贸易、自然灾害、公共安全事件等不可抗力导致供应中断时的
可替代策略。
b) 测评流程:核查协议、合同。
c) 测评流程:具有不可抗力导致供应中断时供方提供可替代策略的要求。
5.2.2.11
测评项 k
本项测评内容包括:
a) 测评指标:应明确软件供应链安全检测和风险评估的范围,例如软件资产识别、源代码和二进