T/TMACXXX—2025
数字化产品供应链安全管理指南
1范围
本文件提出了数字化产品供应链安全管理体系建议,包括合规管控、供应商管理、开发
安全管理和运维安全管理。
本文件适用于组织机构对数字化产品供应链安全的全过程评估和管理,适用于第三方机
构开展数字化产品供应链安全的检测评估认证。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期
的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括
所有的修改单)适用于本文件。
GB/T25069—2022信息安全技术术语
GB/T31168—2023信息安全技术云计算服务安全能力要求
GB/T31722—2015信息技术安全技术信息安全风险管理
3术语和定义
GB/T25069—2022、GB/T31722—2015和GB/T31168—2023界定的以及下列术语和定义
适用于本文件。
3.1
数字化产品digitalproduct
计算机软件、音频视频、电子书籍等可数字化表示并可用计算机网络传输的产品或服务。
3.2
数字化产品供应链digitalproductsupplychain
依托数字化产品供应关系将需方与供方相互连接的上下游链式结构,用于将数字化产品和服
务由供方持续提供给需方。
3.3
数字化产品供应链安全digitalproductsupplychainsecurity
数字化产品供应链各环节与全流程涉及的软件产品和服务安全、供应关系安全、人员管理安
全及软件供应链基础设施安全的总和。
3.4
数字化产品供应链生命周期digitalproductsupplychainlifecycle
在数字化产品供应链中,从软件需求分析开始至软件废止停用或者供需双方终止协议的整个
周期。
注:包括开发环节、交付环节和使用环节,划分为协商、生产、交付、获取、使用、运维、废止7个
过程。
1
T/TMACXXX—2025
3.5
软件服务softwareservice
实施与数字化软件产品有关的活动、工作或劳务,如软件开发、测试、集成、维护和运营等。
4数字化产品供应链安全管理体系
数字化产品供应链管理体系主要包括合规管控、供应商管理、开发安全管理和运维安全管理
四部分,见图1。合规管控包括法律法规、生产安全、知识产权三个部分。供应商管理包括组织
机构、管理制度、人员管理、安全审计四个部分。开发安全管理包括需求分析、编码开发、测试
验证、部署运行四个部分。运维安全管理包括环境安全、数据安全、云平台安全三个部分。建立
完整的数字化产品供应链管理体系应包括以上内容,并结合实际场景持续优化。在体系建设、运
行、总结、评审等情况下,宜逐条对照进行实施,并在体系运行范围内贯彻落实。
数字化产品供应链安全管理体系
合规管控供应商管理开发安全管理运维安全管理
云
法生知组管人安需编测部环数
平
律产识织理员全求码试署境据
台
法安产