ICS 03.120.20 CCS A 00 RB 中华人民共和国认证认可行业标准 RB/T221-2023 信息技术产品供应链安全评价规范 Evaluation specifications for security of information technology product supplychain 2024-05-20发布 2024-07-01实施 国家认证认可监督管理委员会 发布 中国标准出版社 出版
RB/T 221-2023 目次 前言 引言 规范性引用文件 3术语和定义 4评价内容 5评价方法 6评价结果 参考文献 仅供国家认证认可监督管理委员会
RB/T221-2023 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由国家认证认可监督管理委员会提出并归口.
本文件起草单位:中国网络安全审查认证和市场监管大数据中心、上海市信息安全测评认证中心、 中国电子科技集团第十五研究所(信息产业信息安全测评中心)、北京天融信网络安金技禾有限公司、北 京中电华大电子设计有限责任公司、美的集团股份有限公司.
于毅、刘思蓉、兰丹妮.
RB/T221-2023 引言 目前,世界各国和信息技术行业已普遍认识到,信息技术产品供应链存在安全风险,因此加强信息 技术产品的供应链安全管理,增强客户对供应链的信任,变得至关重要.
信息技术产品供应链安全是体现信息技术产品安全保障能力的一个重要方面,但信息技术产品安 全认证实施过程中,对信息技术产品供应链的安全评价尚不完善,缺少统一的安全评价标准费导实际工 作,因此研究制定信息技术产品供应链安全评价规范迫在眉睫.
RB/T 221-2023 信息技术产品供应链安全评价规范 1范围 本文件规定了信息技术产品供应方供应链安全的评价内容、评价方法和评价结果.
本文件适用于认证机构在信息技术产品安全认证过程中对产品供应方供应链的安全评价 2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新顺本包括的修改单)适用于 本文件.
GB/T25069-2022信息安全技术术语 GB/T32921-2016信息安全技术信息技术产品供碰方行为安全准则 GB/T36637-2018信息安全技术ICT供应链安全风险管理指南 3术语和定义 GB/T250692022、GB/T32921-K20和 和GB/T36637-2018界定的以及下列术语和定义适用 于本文件.
3.1 信息技术产品informatin technology product 具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统.
注:信息技术产品包括计算机及其辅助设备、通信设备、网络设备、自动控制设备、操作系统、数据库、应用软件等.
[来源:GB/T292T-2016 3.1.有修改] 3.2 信息技术产品需求方information technology produet acquirers 从信息技术产品供应方获取产品的组织.
来源:GB/T36637-2018.3.1,有修改] 3.3 产品供应方 提供信息技术产品的组织.
注:产品供应方主要包括信息技术产品供应商、生产商等.
[来源:GB/T36637-2018 3.2,有修改] 3.4 信息技术产品供应链information technologyproduct supply chain 为满足供应关系通过资源和过程将信息技术产品的需求方、供应方相互连接的网链结构.
[来源:GB/T36637-2018,3.4,有修改]
