1
《数字化产品供应链安全管理指南》
(征求意见稿)
编制说明
一、工作简况
(一)任务来源
本文件由华东师范大学提出,经中国技术市场协会标准化工作委员会批准,正式列入2024年团体标准制修订计划,标准名称为《数字化产品供应链安全管理指南》。
(二)项目背景
随着我国数字经济的快速发展,数字化产品占比逐年增多,数字化产品供应链迅速成长壮大。在带来诸多便利的同时,数字化产品供应链越来越趋于复杂化和多样化,安全风险不断加剧,其面临着违反法规、供应中断、安全攻击、隐私泄露等一系列复杂多变的风险。本文件为规范和指导数字化产品供应链安全管理水平,加强标准能力建设,完善产业的质量体系而特别提出。
(三)目的意义
本文件针对数字化产品供应链中存在的安全风险及威胁,提出了由合规管控、供应商管理、开发安全管理和运维安全管理四部分构成的数字化产品供应链安全管理体系。最终形成的标准文件可为各类企业的数字化产品供应链安全管理提供参考,还可改善数字化产品供应链的效率和稳定性,并提高企业的声誉和市场竞争力。
(四)起草单位及起草人名单
本文件起草单位:XXXXX、XXXXX、XXXXX、XXXXX、XXXXX、XXXXX、
2
XXXXX、XXXXX、XXXXX、XXXXX、XXXXX、XXXXX、XXXXX、XXXXX。
本文件主要起草人:XXX、XXX、XXX、XXX、XXX、XXX、XXX、XXX、XXX、XXX、XXX、XXX、XXX、XXX。
(五)主要起草过程
1.文本调研
华东师范大学于2024年6月启动了文本的调研工作,并与2024年12月完成了相关资料的收集和分析工作。
2.标准立项
华东师范大学向中国技术市场协会标准化委员会提出申请,于2024年12月获得中国技术市场协会标准化工作委员会批准立项。
3.组建标准起草工作组
2025年2月25日,召开项目启动会,成立了杨艳琴、金澈清、邵奇峰等组成的标准起草工作组,并讨论标准调研工作事项。
4.形成标准草案
2025年3月5日,起草组对资料收集情况进行汇报,并对进行了线上讨论。
2025年3月12日,开展组内讨论,确定了标准框架和主要内容。
2025年4月1日,对起草的标准初稿进行现场讨论,并提出修改意见。
2025年4月19日,起草组根据修改意见进行修改,形成标准草案。
二、确定标准主要内容的论据
3
(一)编制原则
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》以及《中国技术市场协会团体标准工作程序》的规定起草。
(二)标准主要内容及适用范围
本文件针对数字化产品供应链中存在的安全风险及威胁,提出了由合规管控、供应商管理、开发安全管理和运维安全管理四部分构成的数字化产品供应链安全管理体系。合规管控包括法律法规、生产安全、知识产权三个部分;供应商管理包括组织机构、管理制度、人员管理、安全审计四个部分;开发安全管理包括需求分析、编码开发、测试验证、部署运行四个部分;运维安全管理包括环境安全、数据安全、云平台安全三个部分。本标准对数字化产品全生命周期进行安全赋能,多方位指导数字化产品供应链安全风险的识别、评估和监控。
本文件对数字化产品全生命周期进行安全赋能,多方位指导数字化产品供应链安全的全过程评估和管理。本文件适用于组织机构对数字化产品供应链安全的全过程评估和管理,适用于第三方机构开展数字化产品供应链安全的检测评估认证。
(三)确定标准主要内容的论据
本文件的目录框架的确定和编写主要依据GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的相关规定。术语和内容主要依据和参考了以下资料:
GB/T25069—2022信息安全技术术语
GB/T37970—2019软件过程及制品可信度评估
4
GB/T36475—2018
软件产品分类
GB/T30998—2014
信息技术软件安全保障规范
GB/T31722—2015
信息技术安全技术信息安全风险管理
GB/T37988—2019
信息安全技术数据安全能力成熟度模型
GB/T32921—2016
信息安全技术信息技术产品供应方行为
安全准则
GB/T36637—2018
信息安全技术ICT供应链安全风险管理
指南
GB/T31168—2014
信息安全技术云计算服务安全能力要求
三、主要试验[或验证]情况分析、技术经济论证、预期经济效果
本文件的主要内容是从软件产品供应商、数据服务供应商等各类型数字化产品企业角度出发,经过对大量相关数字化产品流转过程、内容、规范、技术的调研与分析,通过与