標準解讀

《GB/T 36637-2018 信息安全技術 ICT供應鏈安全風險管理指南》是一份針對信息通信技術(ICT)領域內供應鏈安全管理的國家標準。該標準旨在為組織提供一套全面的方法論,用以識別、評估和管理與ICT產品和服務相關的供應鏈風險。通過遵循此標準中的指導原則,組織能夠更好地保護其業務連續性和安全性免受因供應鏈問題引發的各種威脅。

標準首先定義了ICT供應鏈及其相關概念,包括但不限于供應商、服務提供商以及最終用戶之間的關系網絡。接著,它詳細介紹了如何建立有效的供應鏈安全管理體系,強調了領導層支持的重要性,并提出了需要制定明確的政策、程序及控制措施來確保整個鏈條的安全性。

在風險識別階段,《GB/T 36637-2018》建議采用系統化的方法去發現潛在的風險點,這可能涉及到對供應商進行審查、監控市場動態變化、跟蹤法律法規更新等方面的工作。對于已經識別出來的風險,則需進一步分析其發生的可能性以及一旦發生后可能造成的損失程度,以此為基礎來進行優先級排序。

根據風險評估的結果,《GB/T 36637-2018》提供了多種應對策略供參考選擇,比如接受某些低影響的風險、采取措施減少高危因素的影響范圍或概率、尋找替代方案規避特定類型的風險等。同時,標準還強調了持續改進的重要性,鼓勵企業定期回顧并調整其供應鏈安全管理計劃以適應不斷變化的外部環境和技術條件。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2018-10-10 頒布
  • 2019-05-01 實施
?正版授權
GB/T 36637-2018信息安全技術ICT供應鏈安全風險管理指南_第1頁
GB/T 36637-2018信息安全技術ICT供應鏈安全風險管理指南_第2頁
GB/T 36637-2018信息安全技術ICT供應鏈安全風險管理指南_第3頁
GB/T 36637-2018信息安全技術ICT供應鏈安全風險管理指南_第4頁
GB/T 36637-2018信息安全技術ICT供應鏈安全風險管理指南_第5頁
免費預覽已結束,剩余27頁可下載查看

下載本文檔

GB/T 36637-2018信息安全技術ICT供應鏈安全風險管理指南-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T36637—2018

信息安全技術

ICT供應鏈安全風險管理指南

Informationsecuritytechnology—Guidelinesfortheinformationand

communicationtechnologysupplychainriskmanagement

2018-10-10發布2019-05-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T36637—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

概述

5………………………2

供應鏈安全風險管理過程

6ICT…………3

概述

6.1…………………3

背景分析

6.2……………3

風險評估

6.3……………4

風險處置

6.4……………7

風險監督和檢查

6.5……………………7

風險溝通和記錄

6.6……………………8

供應鏈安全風險控制措施

7ICT…………8

概述

7.1…………………8

技術安全措施

7.2………………………8

管理安全措施

7.3………………………10

附錄資料性附錄供應鏈概述

A()ICT…………………16

附錄資料性附錄供應鏈安全威脅

B()ICT……………18

附錄資料性附錄供應鏈安全脆弱性

C()ICT…………21

參考文獻

……………………25

GB/T36637—2018

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術標準化研究院中國科學院軟件研究所聯想北京有限公司華為

:、、()、

技術有限公司浙江螞蟻小微金融服務集團股份有限公司阿里巴巴北京軟件服務有限公司北京京

、、()、

東叁佰陸拾度電子商務有限公司中國信息通信研究院微軟中國有限公司浪潮電子信息產業股份

、、()、

有限公司國家信息技術安全研究中心英特爾中國有限公司北京賽西科技發展有限責任公司阿里

、、()、、

云計算有限公司中國信息安全認證中心中國科學院信息工程研究所信息安全國家重點實驗室北京

、、、

工業大學北京郵電大學北京中電普華信息技術有限公司

、、。

本標準主要起草人劉賢剛胡影卿斯漢葉潤國孫彥李汝鑫薛勇波范科峰王昕白曉媛

:、、、、、、、、、、

黃少青劉陶趙江楊煜東趙丹丹張凡陳星寧華樊洞陽陳曄吳迪朱紅儒楊震馬占宇

、、、、、、、、、、、、、、

曹占峰

GB/T36637—2018

引言

隨著信息通信技術的普及應用加強供應鏈的安全可控保障變得至關重要目前世界各國

,ICT。,

和行業已普遍認識到相比傳統行業行業供應鏈更加復雜存在安全風險的概率更大加強

ICT,ICT,。

供應鏈安全管理可增強客戶對供應鏈以及行業的安全信任

ICT,ICTICT。

與傳統供應鏈相比供應鏈具有許多不同的特點例如供應鏈涵蓋產品和服務的全

,ICT,:ICTICT

生命周期不僅包括傳統供應鏈的生產集成倉儲交付等供應階段也包括產品服務的設計開發階段

,、、、,

和售后運維階段產品由全球分布的供應商開發集成或交付供應鏈的全球分布性使得客戶對供

;ICT、,

應鏈的掌握情況和安全風險控制能力在下降傳統供應鏈主要關注如何將產品有效地交付給客戶或者

;,

供應鏈健壯性的強度而供應鏈安全更關注是否會有額外的功能注入產品和服務中交付的產品

,ICT,

和服務是否與預期一致等這些特點使得供應鏈比傳統供應鏈存在更多的安全風險加強供

。ICT,ICT

應鏈的安全風險管理刻不容緩

本標準不規范信息技術產品供應方的安全行為準則推薦在關鍵信息基礎設施或重要信息系統中

使用本標準然而由于個別需要和相關性組織可選擇將標準應用到其他系統或特定組織不過應用

。,,,

本標準的控制措施可能會增加組織和外部供應商的潛在成本需要組織在成本和風險間進行權衡

,。

GB/T36637—2018

信息安全技術

ICT供應鏈安全風險管理指南

1范圍

本標準規定了信息通信技術以下簡稱供應鏈的安全風險管理過程和控制措施

(ICT)。

本標準適用于重要信息系統和關鍵信息基礎設施的供方和運營者對供應鏈進行安全風

ICTICT

險管理也適用于指導產品和服務的供方和需方加強供應鏈安全管理同時還可供第三方測評機

,ICT,

構對供應鏈進行安全風險評估時參考

ICT。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

信息技術安全技術信息安全風險管理

GB/T31722—2015

3術語和定義

和界定的以及下列術語和定義適用于本文件

GB/T25069—2010GB/T31722—2015。

31

.

ICT需方ICTacquirer

從其他組織獲取產品和服務的組織或個人

ICT。

注1獲取可能涉及或不涉及資金交換

:。

注2重要信息系統和關鍵信息基礎設施的運營者通常是從供方獲取網絡產品和服務的需方

:,ICTICT。

32

.

ICT供方ICTsupplier

提供產品和服務的組織

ICT。

注1供方也可稱供應商供應方

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論