软件供应链安全国内相关法律法规与标准等汇总

2023-10-18 15:46

本文将汇总国内的软件供应链安全相关法律法规和标准等,并不断更新,建议收藏。


《网络安全法》(2017年6月1日实施)

第十七条,国家推荐网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务

第二十二条,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险,按照规定及时告知用户并向时,应当立即采取补救措施有关主管部门报告。

第二十六条,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。

第三十八条,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。


《网络安全审查办法》(2022年2月15日实施)

第一条,为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据……制定本办法。

第五条,关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南

第十条 ,网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险

(二)产品和服务供应中断对关键信息基础设施业务连续性危害。

(三)产品和服务的安全性、开放性、透明性、来源的多样性、供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。


《关键信息基础设施保护条例》 ( 2021年9月1日实施)

第五条,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。

第十七条,运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。

第二十六条,保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。

第四十一条,运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。



《网络安全等级保护基本要求》(2019年12月1日实施)

6.2 产品的采购和使用:

应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。应对重要部位的产品委托专业测评单位进行专项测试,根据测试结果选用产品。

6.3 自行软件开发:

应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;应制定代码编写安全规范,要求开发人员参照规范编写代码;应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制。

6.4 外包软件开发 :

应在软件交付前检测其中可能存在的恶意代码;应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道

6.5   测试验收:

应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。


“十四五”国家信息化规划》(2021年12月颁布)

第二章:总体部署,数字经济发展质量效益达到世界领先水平。数字产业化、产业数字化繁荣发展,数字技术和实体经济深度融合, 形成一批具有国际竞争力的数字产业集群。产业基础高级化、产业链现代化水平明显提高,产业链供应链稳定性、安全性和竞争力显著增强。数字经济新业态新模式健康发展,数字营商环境不断优化,数字产品和服务市场更加强大。

第三章:主攻方向,防范化解风险,确保更为安全发展。全面加强网络安全保障体系和能力建设,深化关口前移、防患于未然的安全理念,压实网络安全责任,加强网络安全信息统筹机制建设,形成多方共建的网络安全防线。开发网络安全技术及相关产品,提升网络安全自主防御能力。完善相关法律法规和技术标准,规范各类数据资源采集、管理和使用,避免重要敏感信息泄露。强化新技术应用安全风险动态评估,逐步探索建立人工智能、区块链等新技术的治理原则和标准,确保新技术始终朝着有利于社会的方向发展全。


《ICT供应链安全风险管理指南》(2019年05月01日实施)

6.3 风险评估:组织在进行背景分析后,可开展风险评估,对ICT供应链面临的安全风险进行风险识别、风险分析和风险评价。风险评估可多次迭代后直至满足要求。

6.5 风险监督和检查:风险监督和检查的目的是确保组织的风险在可接受范围内。ICT供应链的风险是动态的。威胁、脆弱性、风险可能性、风险影响等均可能会随着组织业务的变化而改变。组织应设置风险监督和检查计划,监视风险管理活动,定期评审控制措施,及时调整范围边界

7.1 ICT供应链安全风险控制措施:ICT供应链安全风险控制措施,需方或供方宜针对组织的特点和识别的安全风险,选择、定制和实施供应链安全措施。基于ICT供应链风险管理过程,本标准推荐组织依据以下原则选择供应链的安全控制措施:

a)组织的类型、战略、业务目标、客户需求;

b)组织架构和组织流程(安全方面、质量方面等);

c)组织的安全策略和安全风险承受能力;

d)组织的ICT供应链的安全威胁、脆弱性;

e)相关的法律法规;

f)组织ICT供应链结构和背景;

g)组织的ICT供应链安全风险评估结果。


《信息安全技术 关键信息基础设施安全保护要求》(2023年5月1日实施)

7.9 应建立供应链安全管理策略:包括风险管理策略、供应方选择和管理策略、产品开发采购策略、安全维护策略等。