ICS 33.050 CCS M 30 团体标 准 T/TAF 131—2022 网络产品供应链安全要求 采购要求 Security requirements for network product supply chain— Purchase requirements 2022-09-15发布 2022-09-15实施 电信终端产业协会 发布 T/TAF 131—2022 I 目 次 前言 ................................ ................................ ................ II 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 缩略语 ................................ ................................ ............ 2 5 采购要求概述 ................................ ................................ ...... 2 6 供应商安全管理组织及流程 ................................ .......................... 4 7 供应商引入管理 ................................ ................................ .... 4 7.1 安全协议要求 ................................ ................................ .. 4 7.2 供应商安全体系要求 ................................ ............................ 5 7.3 供应商产品安全测试要求 ................................ ........................ 5 7.4 生产外包管 理要求 ................................ .............................. 6 8 供应商日常管理 ................................ ................................ .... 6 8.1 供应商安全风险评估 ................................ ............................ 6 8.2 供应商安全漏洞预警与应急响应 ................................ .................. 6 8.3 供应商安全检查 ................................ ................................ 7 8.4 供应商安全 考核 ................................ ................................ 7 参考文献 ................................ ................................ ............. 8 T/TAF 131—2022 II 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 网络产品供应链安全要求系列标准之一 ，该系列标准结构 如下： ——《网络产品供应链安全要求 》 ——《网络产品供应链安全要求 采购要求 》 ——《网络产品供应链安全要求 物流要求》 ——《网络产品供应链安全要求 制造要求》 请注意本文件中的某些内容可能涉及专利。本 文件的发布机构不承担识别 专利的责任。 本文件由电信终端产业协会 提出并归口 。 本文件起草单位 ：中国信息通信研究院 、华为技术有限公司、联想 （北京） 有限公司 、中兴通讯股 份有限公司、新华三技术有限公司、成都泰瑞通信设备检测有限公司、杭州迪普科技股份有限公司、 浪 潮电子信息产业股份有限公司 、深圳市腾讯计算机系统有限公司 。 本文件主要起草人 ：张治兵、薄菁、郭春颖、王勇、 高媛媛、薛勇波、陈鹏、李汝鑫、施 辰琛、刘 俊、甘露、周继 华、吴萍、童天 予、万晓兰、仇俊杰、 宋桂香、倪平。 T/TAF 131—2022 1 网络产品供应链安全要求 采购要求 1 范围 本文件提出了网络产品在采购环节的安全管理、 组织机构和人员、 信息系 统等不同等级的安 全要求， 包括产品 认证和供应商管理的安全要求 。 本文件适用于网络产品的提供者对供应链采购过程进行安全管理， 也可为网络产品的采购者和第三 方机构对网络产品采购过程进行安全性评价时提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件 ， 仅该日期对应的版本适用于 本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 T/TAF 073 —2020 网络产品供应链安全要求 3 术语和定义 下列术语和定义适用于本 文件。 3.1 网络 network 是指由计 算机或者其他信息 终端及相关设备组成的按 照一定的规则和程序对信息进行收集、存储、 传输、交换、处理的系统。 [来源：T/TAF 073 —2020，3.1] 3.2 网络产品 network product 是指作为网络组成部分以及维持网 络功能的设备、软件等。 [来源：T/TAF 073 —2020，3.2] 3.3 供应链 supply chain 通过多个资源和过程联系在一起的一系列组织， 根据由服务协议或其他采购协议建立连续的供应关 系，每个组织充当一个需求 方、提供方或双重角色。 [来源：T/TAF 073 —2020，3.3] 3.4 需求方 acquirer 获得或采 购产品或服务的利益相关者，也可简称需方 。在本文件中指网络产品的提供者。 [来源：T/TAF 073 —2020，3.6，有修改 ] 3.5 供应商 supplier 与需求方签订协议以提供产品 或服务的组织或个人。 本 文件中包括供应链中提供软件或含软 件的硬 件及相关服务的所有 供应商，具体包括： ——信息系统、系统部件或软硬件产品的开发者或生产者 ； T/TAF 131—2022 2 ——货架产品供应商 ； ——产品经销商 ； ——提供运维等服务的服务商 等。 [来源：T/TAF 073 —2020，3.7，有修改 ] 3.6 采购 purchase 指需求方在一定的条件下从供应市 场获取产品或服务作为组织资源， 以保证 需求方生产及经营活动 正常开展的一项经营活动 。 注：获取的产品或服务以商业交换为基础，不包括可以公开获取的资源，如开源软件等。 [来源：T/TAF 073-2020，3.8，有修改 ] 3.7 关键部件 critical component 存储软件、数据的介质以及具备数据处理能力的部件。如芯片、存储介质、可编程控制器件等。 [来源：T/TAF 073 —2020，3.10] 4 缩略语 下列缩略语适用于本 文件。 CVSS：通用漏洞 评分系统（Common Vulnerability Scoring System ） RFP：需求建议书 （Request For Proposal ） SLA：服务级别协议 （Service Level Agreement ） 5 采购要求概述 网络产品供应链安全要求中的采购要求 包括供应商安 全管理组织及流程要求、供 应商引入管理要 求、供应商日常管理要求。 采购要求管理框架 见图 1。 图1 采购要求管 理框架 由于网络产品供应链在不同产品业务场景下，其采购环节安全管理 要求存在差异。本 文件将采购安 全要求分为三个等级， 即一级、二级和三级，安全等级由低到高，安全要求逐级增强。一级提出了保障 供应链采购安全管理的基本要求。二级在基本要求的基础上，增加了可审计、可追溯要求，以增强供应 链采购环节安全保障。 三级在二级要求的基础上提升了管理流程、规范等要求，并通 过增加使用自动化 工具和技 术要