ICS35.240.01 CCS L78 T/CSAC 中华人民共和国 团体标准 T/CSAC004-2024 软件供应链安全要求测评方法 Testing and evaluating method for software supply chain security requirements 2024-7-31发布 2024-7-31实施 中国网络空间安全协会 发布
T/CSAC 004--2024 目次 前 言 1范围.
2规范性引用文件, 3术语和定义, 4概述. 4.1测评指标 4.2测评对象 2 4.3测评方法 2 4.4测评结果 4.5测评流程. 4.6测评结论. 5需方软件供应链安全要求测评方法. 2 5.1组织管理 3 5.1.1机构管理. 5.1.2制度管理. 3 5.1.3人员管理, 5 5.1.4供应商管理. 6 5.1.5知识产权管理 5.2供应活动管理 8 5.2.1基本流程 8 5.2.2软件采购. 5.2.3软件获取. 01 5.2.4软件运维 12 5.2.5软件废止 14 6供方软件供应链安全要求测评方法. 15 6.1组织管理. 15 6.1.1机构管理. 15 6.1.2制度管理. 16 6.1.3人员管理., 17 6.1.4知识产权管理 18 6.2供应活动管理 19 6.2.1基本流程 19 6.2.2软件开发, 19 6.2.3软件交付. 22 6.2.4软件运维 25 6.2.5软件废止 26 参考文献..
T/CSAC004-2024 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国网络空间安全协会提出.
本文件由中国网络空间安全协会归口.
本文件起草单位:中国信息安全测评中心、工业和信息化部第五研究所、京东科技信息技术有限公 司、统信软件技术有限公司、麒麟软件有限公司、深圳市金蝶天燕云计算股份有限公司、苏州棱镜七彩 信息科技有限公司、中移(杭州)信息技术有限公司、沈阳东软系统集成工程有限公司、北京数字认证 股份有限公司、三六零数字安全科技集团有限公司、中孚安全技术有限公司、拓尔思信息技术股份有限 公司、杭州网易智企科技有限公司、南京南瑞信息通信科技有限公司、北京航空航天大学.
本文件主要起草人:王晓萌、邵帅、崔静、高松、柴思跃、张磊、顾欣、廖晗、崔欣、刘芬芬、郑 伟娜、唐洪山、林琳、李伟彬、梁大功、黄浩东、徐倩华、蔡倩楠、杨万禄、马栏、度鑫、贾彦生、沈 天翔、刘中、肖若楠、李娜、耿贵宁、张浩、马奥、王洪俊、朱浩奇、李雨珂、潘恒、徐文耀、关振宇、 李大伟.
I1
T/CSAC004-2024 软件供应链安全要求测评方法 1范围 本文件确定了供需双方组织管理和供应活动管理安全要求的测评指标、测评对象和测评流程.
本文件适用于指导软件供应链中的供需双方开展软件供应链安全测评,可为第三方机构提供测评依 据,也可为主管监管部门提供参考.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T25069-2022信息安全技术术语 GB/T43698-2024网络安全技术软件供应链安全要求 3术语和定义 GB/T25069-2022和GB/T43698-2024中界定的以及下列术语和定义适用于本文件.
3. 1 供应关系supplierrelation 需方和供方之间为开展业务、提供软件产品而建立的协议、合同等契约关系.
注:在供应链中,上游的需方同时也是下游的供方.
[来源:GB/T 43698-2024 3.5] 3. 2 供应活动supplyactivity 需方和供方为维持日常生产基于供应关系进行的软件采购、开发、获取、交付、运维、废止等活动 的总称.
[来源:GB/T 43698-2024 3.6] 3.3 软件供应链software supply chain 需方和供方基于供应关系,开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形 成的网链结构.
[来源:GB/T 436982024 3.7] 3. 4 软件供应链安全图谱software supplychain security graph
T/CSAC004-2024 软件产品信息、软件物料清单、安全信息等内容及其关联关系的描述和表示.
注:一般以文本形式存储,支持通过知识图谱方式展示.
[来源:GB/T 43698-2024 3.9] 4概述 4.1测评指标 GB/T43698-2024中供需双方组织管理和供应活动管理的每条安全要求.
4.2测评对象 测评指标涉及的人员、机构、制度、文件、软件产品等.
4.3测评方法 测评方法主要包括以下三种: a)访谈:测评人员通过引导软件供应链安全保护能力测评相关人员进行有目的的交流,帮助测评 人员理解、澄清或取得证据,从面判定是否满足指标要求: b)核查:测评人员通过对测评对象,如制度、文件、软件产品等进行观察、查验和分析、帮助测 评人员理解、澄清或取得证据,从而判定是否满足指标要求: c)检测:测评人员使用完整性校验、访问控制分析、源代码安全缺陷检测、二进制代码漏润分析 以及软件成分分析等技术使测评对象产生特定的结果,通过结果与预期结果比对,从而判定是否满足测 评指标要求.
4.4测评结果 测评结果包括: a)完全符合:通过对测评对象的访谈、核查或检测,满足预期结果: b)部分符合:通过对测评对象的访谈、核查或检测,满足部分预期结果: c)不符合:通过对测评对象的访谈、核查或检测,不满足任何预期结果: d)不涉及:与测评指标的内容不相关.
4.5测评流程 采用测评方法对测评对象实施访谈、核查或检测并给出测评结果的过程.
4.6测评结论 参考GB/T43698-2024附录D对软件供应链安全图谱级别的划分,汇总测评结果给出如下测评结论: a)软件供应链安全保障能力达到基础级:组织管理和供应活动安全要求完全符合及部分符合项数 不少于测评总项数的80%,软件供应链安全图谱符合基础级图谱要求: b)软件供应链安全保障能力达到通用级:组织管理和供应活动安全要求完全符合及部分符合项数 不少于测评总项数的80%,软件供应链安全图谱符合通用级要求: c)软件供应链安全保障能力达到增强级:组织管理和供应活动安全要求完全符合及部分符合项数 不少于测评总项数的80%,软件供应链安全图谱符合增强级要求.
5需方软件供应链安全要求测评方法