ICS 33.050 M 30 团体标 准 T/TAF 073 -2020 网络产品供应链安全要求 Security requirements for network product supply chain 2020-09-10发布 2020-09-10实施 电信终端产业协会 发布 T/TAF 073 -2020 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 概述 ................................ ................................ ............... 2 5 网络产品供应链基础设施安全要求 ................................ ..................... 3 6 网络产品供应链环节安全要求 ................................ ......................... 4 参考文献 ................................ ................................ ............. 8 T/TAF 073 -2020 II 前 言 本标准对网络产品的生产者供应链安全提出要求。 网络产品的生产者在构建本组织的供应链安全管 理体系时可参考本标准。 标准按照 GB/T 1.1 -2009给出的规则起草。 本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由电信终端产业协会提出并归口。 本标准起草单位 ：中国信息通信研究院、华为技术有限公司、联想（北京）有限公司、中兴通讯股 份有限公司、中国信息通信 科技集团、杭州迪普科技股份有限公司。 本标准主要起草人 ：倪平、张治兵、薛勇波、李汝鑫、吴萍、段伟伦、仇俊杰、陈鹏、刘微、周继 华、韩晓露、郝圣阳。 T/TAF 073 -2020 III 引 言 随着经济全球化发展，信息系统的运行依赖于分布在全球相互联系的供应链生态系统，供应链安全 对国家经济增长和网络安全的重要性不断凸显。供应链安全管理是保障产业健康有序发展的重要举措。 网络产品供应链覆盖网络产品整个生命周期，从设计研发、生产、交付到运维直至废弃，每一个环 节都可能涉及到第三方，如供货 商、集成商、服务商等，因此每一个环节都应该提出相关的供应链安全 要求。同时，每个环节都会涉及到对制度、人员、信息系统等要求，以上支撑了整个供应链安全管理的 落实。 本标准是对组织自身的供应链管理提出的安全要求，组织可根据本标准中的安全要求，构建本组织 的供应链安全管理体系，以提高本组织的供应链安全。 T/TAF 073 -2020 1 网络产品供应链安全要求 1 范围 本标准对网络产品在管理制度、组织机构和人员、信息系统等以及设计与研发、采购、生产、仓储、 交付、运维等供应链环节提出了不同等级的安全要求。 本标准适用于重要信息系统和关键信息基础设施中网络 产品的提供者对供应链进行安全管理， 也适 用于指导网络产品提供者加强供应链安全管理， 同时可为网络产品的采购者和第三方机构对网络产品进 行安全性评价时提供参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技术 术语 GB/T 18354 -2006 物流术语 GB/T 36637 -2018 信息安全技术 ICT供应链安全风险管理指南 3 术语和定义 3.1 网络 network 是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、 传输、交换、处理的系统。 3.2 网络产品 network product 是指作为网络组成部分以及维持网络功能的设备、软件等。 3.3 供应链 supply chain 通过多个资源和过程联系在一起的一系列组织， 根据由服务协议或其他采购协议建立连续的供应关 系，每个组织充当一个需求方、提供方或双重角色。 T/TAF 073 -2020 2 3.4 供应链基础设施 supply chain infrastructure 由组织内的硬件、软件和制度流程等构成的集合，用 于构建产品和服务的设计、开发、生产、集成、 仓储、交付、运维等网络产品供应链声明周期的环境。 3.5 可追踪性 traceability 允许在整个供应链中跟踪身份、过程或元素的特性。 3.6 需求方 acquirer 获得或采购产品或服务的利益相关者，也可简称需方，在本标准中指网络产品的采购方或使用方。 3.7 供应商 supplier 与需求方签订协议以提供产品或服务的组织或个人。这包括供应链中的所有供应商。包括（ 1）信 息系统、系统部件或软硬件产品的开发者或生产者；（ 2）货架产品供应商；（ 3）产品经销商；（ 4） 提供运维等服 务的服务商等。 3.8 采购 purchase 指组织在一定的条件下从供应市场获取产品或服务作为组织资源， 以保证组织生产及经营活动正常 开展的一项经营活动。 3.9 物流 logistics 物品从供应地向接收地的实体流动过程。根据实际需要，将运输、储存、装卸、搬运、包装、流通 加工、配送、信息处理等基本功能实施有机结合。 3.10 关键部件 critical component 存储软件、数据的介质以及具备数据处理能力的部件。如芯片、存储介质、可编程控制器件等。 4 概述 4.1 供应链安全管理内容 供应链通常涵盖软、硬件产 品的采购、开发、集成等环节，涉及到生产者、供应商、系统集成商、 服务提供商等多类实体以及技术、法律、政策等软环境。与传统的供应链不同，网络产品供应链贯穿网 络产品全生命周期，从产品的设计研发、生产、交付以及运维，包括供应商管理、采购、生产、仓储、 T/TAF 073 -2020 3 物流等供应链管理环节。根据所覆盖的产品生命周期的不同，网络产品供应链管理可以分为两类，一类 是在整个生命周期中都会涉及到的要求，如与供应链安全管理相关的制度、组织机构及人员、信息系统 等， 这一类称之为网络产品供应链基础设施管理； 另一类是和特定的生命周期环节相关的， 如设计研发 、 采购、生产、交付等，这一类为网络产品供应链环节管理。网络产品供应链安全管理框架如图 1所示。 4.2 供应链安全管理目标 (a) 供应链完整性：保障在网络产品全生命周期中，产品及其所包含的元器件、软件、关键部件 、数据 等以及所使用的工具不被植入、篡改、伪造或者替换。 (b) 供应链可用性：保障需求方对供应链的使用。一方面，确保供应链中各方按照与需求方签订的协议 能够正常供应，不因人为或者自然因素中断，即可供应性；另一方面，即使在供应部分失效时，仍 能在一定条件下，以可预计的方式恢复到可接受的供应状态的能力，即保持一定的弹性。 (c) 供应链保密 性：保障供应链上传递的信息不被泄露给未授权者。 (d) 供应链可控性：保障需求方对供应链的控制能力，对供应链生命周期各环节信息的理解、各级供应 商/服务商情况的透明度和可信度、数据流的管理，及供应链可追溯性。 图1 网络产品供应链安全管理框架 4.3 供应链安全 要求 网络产品供应链安全要求需覆盖供应链基础设施和供应链各个环节，安全要求分两个等级，即基本 级与增强级，安全等级由低到高，安全要求逐级增强。与基本级内容相比，增强级中要求有所增加的内 容在正文中通过 加粗表示。基本级只需满足非加粗安全要求，增强级则需满足全部的安全要求 。 5 网络产品供应链基础设施安全要求 5.1 管理制度 组织应： (a) 制定供应链安全管理的总体方针和安全策略，说明供应链安全管理的总体目标、范