1
T/TMACXXX—2025
数字化产品供应链安全管理指南
1范围
本文件提出了数字化产品供应链安全管理体系建议,包括合规管控、供应商管理、开发安全管理和运维安全管理。
本文件适用于组织机构对数字化产品供应链安全的全过程评估和管理,适用于第三方机构开展数字化产品供应链安全的检测评估认证。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2022信息安全技术术语
GB/T31168—2023信息安全技术云计算服务安全能力要求GB/T31722—2015信息技术安全技术信息安全风险管理
3术语和定义
GB/T25069—2022、GB/T31722—2015和GB/T31168—2023界定的以及下列术语和定义适用于本文件。
3.1
数字化产品digitalproduct
计算机软件、音频视频、电子书籍等可数字化表示并可用计算机网络传输的产品或服务。3.2
数字化产品供应链digitalproductsupplychain
依托数字化产品供应关系将需方与供方相互连接的上下游链式结构,用于将数字化产品和服务由供方持续提供给需方。
3.3
数字化产品供应链安全digitalproductsupplychainsecurity
数字化产品供应链各环节与全流程涉及的软件产品和服务安全、供应关系安全、人员管理安全及软件供应链基础设施安全的总和。
3.4
数字化产品供应链生命周期digitalproductsupplychainlifecycle
在数字化产品供应链中,从软件需求分析开始至软件废止停用或者供需双方终止协议的整个周期。
注:包括开发环节、交付环节和使用环节,划分为协商、生产、交付、获取、使用、运维、废止7个过程。
2
T/TMACXXX—20253.5
软件服务softwareservice
实施与数字化软件产品有关的活动、工作或劳务,如软件开发、测试、集成、维护和运营等。
4数字化产品供应链安全管理体系
数字化产品供应链管理体系主要包括合规管控、供应商管理、开发安全管理和运维安全管理四部分,见图1。合规管控包括法律法规、生产安全、知识产权三个部分。供应商管理包括组织机构、管理制度、人员管理、安全审计四个部分。开发安全管理包括需求分析、编码开发、测试验证、部署运行四个部分。运维安全管理包括环境安全、数据安全、云平台安全三个部分。建立完整的数字化产品供应链管理体系应包括以上内容,并结合实际场景持续优化。在体系建设、运行、总结、评审等情况下,宜逐条对照进行实施,并在体系运行范围内贯彻落实。
数字化产品供应链安全管理体系
合规管控部署
合规管控
部署运行
测试验证
编码开发
需求分析
开发安全管理
运维安全管理
环境安全数
环境安全
数据安全
云平台安全
法律法规
知识产权
生产安全
安全审计
人员管理
管理制度
组织机构
供应商管理
图1数字化产品供应链安全管理体系
5合规管控要求
5.1概述
明确数字化产品供应链在合法合规方面的要求,包括法律法规、生产安全、知识产权等。
5.2法律法规
数字化产品供应链安全建设需要遵守国家、地区或行业的法律法规和标准,包括:
a)数字化产品在开发、构建、验证、运营过程中,需遵从各行业供应链安全法律监管合规要求,如《网络安全法》、《网络安全审查办法》、《关键信息基础设施保护条例》等;
b)数据隐私保护方面,数字化产品供应链在运行过程中若接触到大量用户个人信息,宜遵循数据隐私保护法规(如GDPR、CCPA等);
c)进出口限制方面,数字化产品供应链相关企业宜遵循某些国家对软件产品和相关技术进出口的限制,防止违规经营;
d)跨境数据传输方面,向境外传输数据,需通过国家网信部门的安全评估,并取得《数据出境安全评估合格证书》;
e)安全审查认证方面,数字化产品供应链相关企业宜按照政府部门要求对软件进行安全审查和认证,验证产品是否符合使用的安全标准和法规要求。
3
T/TMACXXX—2025
5.3生产安全
本项要求包括:
a)生产区域具备独立的电子安全系统并且有专人管理,安保人员按要求实施监控,并持续维护安保系统;
b)关键信息系统宜具备容灾备份能力,确保业务连续性,系统故障恢复时间(RTO)需满足业务需求;
c)宜开展数据分类分