国家标准 GB/T 43698-2024《网络安全技术 软件供应链安全要求》
发布网友
发布时间:2024-10-21 17:27
我来回答
共1个回答
热心网友
时间:2024-11-01 12:46
近年来,软件供应链安全事件频发,严重威胁网络安全。为确保*和正常工作生活秩序,依据《中华人民共和国网络安全法》、《中华人民共和国反间谍法》等法律法规,中国信息安全测评中心牵头研制了国家标准《网络安全技术软件供应链安全要求》(GB/T 43698-2024),以建立完善的软件供应链安全风险管理能力体系。
此标准针对软件供应链安全问题,涵盖了相关法律法规,包括但不限于《中华人民共和国网络安全法》、《中华人民共和国反间谍法》、《关键信息基础设施安全保护条例》、《网络安全审查办法》等。内容涵盖了软件供应链安全目标、风险管理要求、组织管理和供应活动管理安全要求等方面,适用于软件供应链中的供需双方,以及第三方机构进行软件供应链安全检测和评估,为监管机构提供参考。
标准中引入了核心术语,包括供应关系、供应活动、软件供应链、软件供应链安全图谱等,以明确不同概念及其在软件供应链安全中的角色和作用。安全要求体系“123456”聚焦风险防范,包含安全目标、核心角色、安全风险、总体安全要求、组织管理安全要求、供应活动管理安全要求等,旨在构建全面的软件供应链安全体系。
安全目标旨在建立风险管理能力体系,并增强软件供应链管理能力。核心角色包括供方和需方,安全风险涉及供应关系、技术、知识产权三个方面。总体安全要求包括确定目标策略、识别关键资产、构建安全图谱、信息采集和跟踪、安全检测评估、监督检查整改等流程。组织管理安全要求涉及人员、机构、制度、知识产权、供应商管理等,确保供应链安全的持续改进。供应活动管理安全要求覆盖软件采购、开发、交付、运维、废止等阶段的安全管理,确保供应链的完整性、安全性、合规性。
供需双方需遵守相关安全要求,实现规范化管理。标准实施意义重大,能够提升我国对软件供应链安全领域供应关系、技术、知识产权风险的防范能力,对整体提升网络安全能力具有重要意义。全国规模化采用该标准将增强我国软件供应链的安全性,为网络安全提供坚实支撑。