RB/T 221-2023 信息技术产品供应链安全评价规范

ICS03.120.20

CCSA00

中华人民共和国认证认可行业标准

/—

RBT2212023

信息技术产品供应链安全评价规范

Evaluationsecificationsforsecuritofinformationtechnoloroductsulchain

pygypppy

2024-05-20发布2024-07-01实施

国家认证认可监督管理委员会发布

中国标准出版社出版

/—

RBT2212023

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4评价内容…………………2

5评价方法…………………3

6评价结果…………………7

参考文献………………………8

Ⅰ

/—

RBT2212023

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由国家认证认可监督管理委员会提出并归口。

:、、

本文件起草单位中国网络安全审查认证和市场监管大数据中心上海市信息安全测评认证中心

()、、

中国电子科技集团第十五研究所信息产业信息安全测评中心北京天融信网络安全技术有限公司北

、。

京中电华大电子设计有限责任公司美的集团股份有限公司

:、、、、、、、、、、

本文件主要起草人申永波王峰徐佟海董晶晶安高峰张俊彦朱在鹏杨坤张玉朋薛路刚

、、。

于毅刘思蓉兰丹妮

Ⅲ

/—

RBT2212023

引言

,,,

目前世界各国和信息技术行业已普遍认识到信息技术产品供应链存在安全风险因此加强信息

,,。

技术产品的供应链安全管理增强客户对供应链的信任变得至关重要

,

信息技术产品供应链安全是体现信息技术产品安全保障能力的一个重要方面但信息技术产品安

,,

全认证实施过程中对信息技术产品供应链的安全评价尚不完善缺少统一的安全评价标准指导实际工

,。

作因此研究制定信息技术产品供应链安全评价规范迫在眉睫

Ⅳ

/—

RBT2212023

信息技术产品供应链安全评价规范

1范围

、。

本文件规定了信息技术产品供应方供应链安全的评价内容评价方法和评价结果

本文件适用于认证机构在信息技术产品安全认证过程中对产品供应方供应链的安全评价。

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—信息安全技术术语

GBT250692022

/—信息安全技术信息技术产品供应方行为安全准则

GBT329212016

/—信息安全技术供应链安全风险管理指南

GBT366372018ICT

3术语和定义

/—、/—和/—界定的以及下列术语和定义适用

GBT250692022GBT329212016GBT366372018

于本文件。

3.1

信息技术产品informationtechnoloroduct

gyp

、、、、、、、、。

具有采集存储处理传输控制交换显示数据或信息功能的硬件软件系统

:、、、、、、。

注信息技术产品包括计算机及其辅助设备通信设备网络设备自动控制设备操作系统数据库应用软件等

[:/—,,]

来源GBT3292120163.1有修改

3.2

信息技术产品需求方informationtechnoloroductacuirers

gypq

从信息技术产品供应方获取产品的组织。

[:/—,,]

来源GBT3663720183.1有修改

3.3

信息技术产品供应方informationtechnoloroductsuliers

gyppp

产品供应方

提供信息技术产品的组织。

:、。

注产品供应方主要包括信息技术产品供应商生产商等

[:/—,,]

来源GBT3663720183.2有修改

3.4

信息技术产品供应链informationtechnoloroductsulchain

gypppy

、。

为满足供应关系通过资源和过程将信息技术产品的需求方供应方相互连接的网链结构

[:/—,,]

来源GBT3663720183.4有修改

1