供应链安全相关政策要求及管理实践 北京⼤成（杭州）律师事务所 孙鹏程 律师 2021年12⽉1⽇ Dentons 1 软件供应链安全的定义 软件供应链是⼀个通过⼀级或多级软件设计、开发 阶段编写软件，并通过软件交付渠道将软件从软件 供应商送往软件⽤户的系统。 软件供应链安全的定义是软件供应链上软件设计与 开发的各个阶段中来⾃本身的编码过程、⼯具、设 备或供应链上游的代码、模块和服务的安全，以及 软件交付渠道安全的总和。 Dentons 2 供应链安全相关政策要求 《中华⼈⺠共和国⽹络安全法》 • 运营者 • 第三⼗五条 关键信息基础设施的运营者采购⽹络产品和服务，可能影响国家安全的，应当通 过国家⽹信部⻔会同国务院有关部⻔组织的国家安全审查。 • 第三⼗六条 关键信息基础设施的运营者采购⽹络产品和服务，应当按照规定与提供者签订安 全保密协议，明确安全和保密义务与责任。 • ⽹络产品、服务的提供者 • 第⼆⼗⼆条 ⽹络产品、服务应当符合相关国家标准的强制性要求。⽹络产品、服务的提供者 不得设置恶意程序；发现其⽹络产品、服务存在安全缺陷、漏洞等⻛险时，应当⽴即采取补 救措施，按照规定及时告知⽤户并向有关主管部⻔报告。 • ⽹络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事⼈约定的 期限内，不得终⽌提供安全维护。 Dentons 3 供应链安全相关政策要求 《关键信息基础设施安全保护条例》 • 第⼗九条 运营者应当优先采购安全可信的⽹络产品和服务；采购⽹络产品和服务可能影响国 家安全的，应当按照国家⽹络安全规定通过安全审查。 • 第⼆⼗条 运营者采购⽹络产品和服务，应当按照国家有关规定与⽹络产品和服务提供者签订 安全保密协议，明确提供者的技术⽀持和安全保密义务与责任，并对义务与责任履⾏情况进 ⾏监督。 Dentons 4 供应链安全相关政策要求 《⽹络安全审查办法（修订草案征求意⻅稿）》 • 第⼀条 为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华⼈⺠共和国国家 安全法》《中华⼈⺠共和国⽹络安全法》《中华⼈⺠共和国数据安全法》，制定本办法。 • 第⼆条 关键信息基础设施运营者（以下简称运营者）采购⽹络产品和服务，数据处理者（以 下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进⾏⽹络安 全审查。 • 第三条 ⽹络安全审查坚持防范⽹络安全⻛险与促进先进技术应⽤相结合、过程公正透明与知 识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服 务安全性、可能带来的国家安全⻛险等⽅⾯进⾏审查。 Dentons 5 供应链安全相关政策要求 《⽹络产品安全漏洞管理规定》 • 第五条 ⽹络产品提供者、⽹络运营者和⽹络产品安全漏洞收集平台应当建⽴健全⽹络产品安 全漏洞信息接收渠道并保持畅通，留存⽹络产品安全漏洞信息接收⽇志不少于6个⽉。 • 第七条 ⽹络产品提供者应当履⾏下列⽹络产品安全漏洞管理义务，确保其产品安全漏洞得到 及时修补和合理发布，并指导⽀持产品⽤户采取防范措施： • （⼀）发现或者获知所提供⽹络产品存在安全漏洞后，应当⽴即采取措施并组织对安全漏洞 进⾏验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏 洞，应当⽴即通知相关产品提供者。（⼆）报送（略）。（三）应当及时组织对⽹络产品安 全漏洞进⾏修补，对于需要产品⽤户（含下游⼚商）采取软件、固件升级等措施的，应当及 时将⽹络产品安全漏洞⻛险及修补⽅式告知可能受影响的产品⽤户，并提供必要的技术⽀ 持。 • 第⼋条 ⽹络运营者发现或者获知其⽹络、信息系统及其设备存在安全漏洞后，应当⽴即采取 措施，及时对安全漏洞进⾏验证并完成修补。 Dentons 6 GB/T 22239-2019 信息安全技术 ⽹络安全等级保护基本要求 要把供应商关系和供应链安全作为信息安全⽅针的重要主题 Dentons 7 GB/T 22239-2019 信息安全技术 ⽹络安全等级保护基本要求 • 针对供应商和供应链的直接要求(以等级保护三级为例) 8.1.9.10服务供应商选择 本项要求包括： a)应确保服务供应商的选择符合国家的有关规定； b)应与选定的服务供应商签订相关协议，明确整个服务供应链各⽅需履⾏的⽹络安全相关义务； c)应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。 8.2.6.2供应链管理(云计算安全扩展要求) 本项要求包括： a)应确保供应商的选择符合国家有关规定； b)应将供应链安全事件信息或安全威胁信息及时传达到云服务客户； c)应将供应商的重要变更及时传达到云服务客户，并评估变更带来的安全⻛险，采取措施对⻛险进⾏控 制。 Dentons 8 GB/T 22239-2019 信息安全技术 ⽹络安全等级保护基本要求 运营者单位供应链安全管理： 产品和服务⼚商安全管理： ⼈和组织 安全合规 ⼈与组织 流程制度 流程与机制 供应商管理 设计安全机制 产品安全检查 开发安全机制 开发安全检查 ⽣产安全机制 开发安全流程管理 测试安全机制 交付安全管理 交付安全机制 产品⽣命周期管理 产品攻防测试 运维及服务管理 开源及第三⽅软件管理 源代码共享平台及程序下载⽹站管理 Dentons 9 电信和互联⽹企业⽹络数据安全合规性评估要点（2020年版） 核⼼⼯作重点（10项）：机构⼈员、制度保障、分类分级、合规评估、权限管理、安全审计、合作⽅ 管理、应急响应、投诉处理、教育培训 安全审计 应急响应 教育培训 强化企业安全事件应急响应能⼒ ⽇志留存管理 划分时间等级，开展应急演练 加强企业数据安全审计管理 制定数据安全管理相关岗位⼈员 培训计划 发⽣数据安全事件时及时采取补 培训可采取线下集中授课或线上 培训等形式 救措施 加强数据合作⽅安全管理 合作⽅监督管理部⻔建⽴合作⽅ 完善数据安全⽤户举报与受理机 台账管理机制 制，建⽴⽤户数据安全举报投诉 与合作⽅签订服务合同和安全保 渠道 密协议 合作⽅管理 举报投诉处理 Dentons 10 其他相关的标准 《信息安全技术 信息技术产品供应⽅⾏为安全准则》（GB/T 32921-2016） 从供应商⻆度⼊⼿，规定了信息技术产品供应⽅的⾏为安全准则； 《信息安全技术 ICT供应链安全⻛险管理指南》（GB/T 36637-2018） 规定了信息通信技术（ICT）供应链的安全⻛险管理过程和控制措施，适⽤于ICT供⽅和需⽅、第 三⽅测评机构等； 《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》针对关键信息基础设施，规定 了信息技术产品供应⽅和需求⽅应满⾜的供应链安全要求，该标准已完成征求意⻅，即将发布； 《信息安全技术 软件供应链安全要求》也在编制中，将对软件供应链所涉及的相关⽅应满⾜的安 全要求进⾏规范； 《信息安全技术 云计算服务安全能⼒要求》（GB/T 31168-2014） 对云服务商的供应链从采购过程、外部服务提供商、开发商、防篡改、组件真实性、不被⽀持的 系统组件、供应链保护等⽅⾯提出了安全要求。 Dentons 11 ISO/IEC 27001 A.14.2.7 外包开发 A.5 安全⽅针 A.15 供应商关系 A.6 信息安全组织 A.15.1 供应商关系的信息安全 A.15.1.1供应商关系的信息安全 策略 A.13 通信安全 A.15.1.2在供应商协议中强调安 全 A.15.1.3信息与通信技术供应链 A.15.2 供应商服务交付管理 A.15.2.1供应商服务的监视和评 审 A.15.2.2供应商服务的变更管理 A.7 ⼈⼒资源安全 A.8 资产管理 A.9 访问控制 A.15 供应链管理 A.16 信息安全事件 管理 A.11 物理和环境安全 A.10 加密 A.14 系统获取、开发 和维护 A.12 操作安全 A.17 信息安全涉及的 业务持续管理 A.18 符合性 
 Dentons 12 美国NIST对政府⾏业的建议   NIST 2015 2019 NISTI SP Case Case R 800-16 Studie Studie 7622 1 s s CSF FSP UTC ISO/ ISO/ ISO/ IEC IEC IEC 27002 27036 20243 建⽴包括来⾃整个组织（⽹络，产品安全，采购，ERM，业务部⻔等）⾼管的供应链⻛险委员会 √   √ √ √ √         为供应链，⽹络安全，产品安全和物理安全功能创建明确的协作⻆⾊，结构和流程     √ √   √       √ 通过定期共享⻛险讨论和绩效评估来增加董事会对C_SCRM的参与     √ √   √         将⽹络安全因素考虑整合到系统和产品⽣命周期中 √ √ √ √ √ √   √ √ √ 明确定义特定供应商关系的安全⽅⾯的⻆⾊和职责 √   √ √   √ √ √ √ √ 使⽤主要需求清单和SLA与供应商建⽴需求 √   √ √     √ √ √ √ 将安全要求传播给供应商的⼦供应商 √ √ √ √ √ √ √ √ √ √ 培训您组织和供应商组织中的关键利益相关者 √ √ √ √ √ √ √ √ √ √ 出于安全考虑终⽌供应商关系 √ √       √ √ √ √ √ 使⽤重要性分析过程模型或BIA确定供应商的重要性 √     √ √ √     √   建⽴对供应商⽣产过程的可⻅性以捕获例如缺陷率，失败原因并测试   √ √ √         √ √ 了解供应商的⼦供应商是否可以访问您的数据和基础架构 √     √       √ √ √ 指导和辅导供应商改善其⽹络安全实践 √   √