ICS 35. 240. 01 CCS L78 T/CSAC 中华人民共和国 团体标准 T/CSAC004—2024 软件供应链安全要求测评方法 Testing and evaluating method for software supply chain security requirements 2024- 7- 31 发布 2024 - 7 - 31 实施 中国网络空间安全协会 发布 T/CSAC004—2024 软件供应链安全要求测评方法 1范围 本文件确定了供需双方组织管理和供应活动管理安全要求的测评指标、测评对象和测评流程。 本文件适用于指导软件供应链中的供需双方开展软件供应链安全测评，可为第三方机构提供测评依 据，也可为主管监管部门提供参考。 规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 信息安全技术术语 GB/T 25069—2022 GB/T43698一2024网络安全技术¥软件供应链安全要求 3术语和定义 3. 1 供应关系supplier relation 需方和供方之间为开展业务、提供软件产品而建立的协议、合同等契约关系。 注：在供应链中，上游的需方同时也是下游的供方。 [来源：GB/T 43698-2024,3.5] 3. 2 供应活动supply activity 需方和供方为维持日常生产基于供应关系进行的软件采购、开发、获取、交付、运维、废止等活动 的总称。 [来源：GB/T 43698-2024,3.6] 3.3 软件供应链 E software supply chain 需方和供方基于供应关系，开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形 成的网链结构。 [来源：GB/T 43698-2024,3.7] 3. 4 软件供应链安全图谱software supply chain security graph T/CSAC004—2024 软件产品信息、软件物料清单、安全信息等内容及其关联关系的描述和表示。 注：一般以文本形式存储，支持通过知识图谱方式展示。 [来源：GB/T 43698-2024,3.9] 4概述 4.1测评指标 GB/T43698-2024中供需双方组织管理和供应活动管理的每条安全要求。 4. 2 测评对象 测评指标涉及的人员、机构、制度、文件、软件产品等。 4.3测评方法 测评方法主要包括以下三种： a）访谈：测评人员通过引导软件供应链安全保护能力测评相关人员进行有目的的交流，帮助测评 人员理解、澄清或取得证据，从而判定是否满足指标要求； b）核查：测评人员通过对测评对象，如制度、文件、软件产品等进行观察、查验和分析、帮助测 评人员理解、澄清或取得证据，从而判定是否满足指标要求； c）检测：测评人员使用完整性校验、访问控制分析、源代码安全缺陷检测、二进制代码漏洞分析 以及软件成分分析等技术使测评对象产生特定的结果，通过结果与预期结果比对，从而判定是否满足测 评指标要求。 4.4测评结果 测评结果包括： a）完全符合：通过对测评对象的访谈、核查或检测，满足所有预期结果； b）部分符合：通过对测评对象的访谈、核查或检测，满足部分预期结果； c）不符合：通过对测评对象的访谈、核查或检测，不满足任何预期结果； d）不涉及：与测评指标的所有内容不相关。 4.5测评流程 采用测评方法对测评对象实施访谈、核查或检测并给出测评结果的过程。 4.6测评结论 a）软件供应链安全保障能力达到基础级：组织管理和供应活动安全要求完全符合及部分符合项数 不少于测评总项数的80%，软件供应链安全图谱符合基础级图谱要求； b）软件供应链安全保障能力达到通用级：组织管理和供应活动安全要求完全符合及部分符合项数 不少于测评总项数的80%，软件供应链安全图谱符合通用级要求； c）软件供应链安全保障能力达到增强级：组织管理和供应活动安全要求完全符合及部分符合项数 不少于测评总项数的80%，软件供应链安全图谱符合增强级要求。 需方软件供应链安全要求测评方法 2 T/CSAC004—2024 5.1组织管理 5.1.1机构管理 5.1.1.1测评项 a 本项测评内容包括： a）测评指标：应明确软件供应链安全管理组织机构或人员及其职责范围，提供保障软件供应链安 全所需的资源（如有关资金、场地、人力等），并在预算管理过程中予以重点考虑。 b）测评流程：访谈信息/网络安全主管，核查管理制度以及表单等文件； c）预期结果：具有软件供应链安全管理组织机构、人员和职责分工以及资金支持 5. 1. 1. 2测评项 b 本项测评内容包括： a）测评指标：应组织构建并管理软件供应链安全图谱，定期（至少每年一次）开展软件供应链安 全检测、风险评估等软件供应链安全风险管理工作，包括但不限于软件成分分析、源代码和二进制代码 安全漏洞分析等。 b）测评流程：访谈信息/网络安全主管，核查安全检测报告，检测软件供应链安全图谱。 c）预期结果： 1）开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作不少于1次； 2）具有软件成分分析、源代码和二进制代码安全漏洞分析等至少一项安全检测或风险评估报 告; 3）至少具有软件资产清单、软件物料清单或软件供应链安全图谱中的一项。 5. 1. 1. 3测评项 c 本项测评内容包括： a）测评指标：应及时制定、修订、宣贯、执行各项软件供应链安全管理制度、流程以及机制。 b）测评流程：访谈信息/网络安全主管，核查管理制度文件和执行情况。 c）预期结果： 1）具有软件供应链安全管理制度、流程以及机制，并有宣贯记录； 2）具有执行和修订情况的记录。 5. 1. 1. 4测评项 d 本项测评内容包括： a）测评指标：对于重要或核心业务场景，宜设立专职软件供应链管理机构开展软件供应链安全管 理工作。 b）测评流程：访谈信息/网络安全主管、核查管理制度文件。 c）预期结果： 1）设立专职软件供应链管理机构； 2）对组织机构和人员有明确的职责划分。 5.1.2制度管理 5. 1. 2. 1测评项 a 本项测评内容包括： 3 T/CSAC004—2024 a）测评指标：应确定软件供应链安全的总体方针、安全制度和策略（可作为单独的文件，也可作 为相关文件中的一部分），至少包括软件资产管理、软件供应链安全风险识别处置、监督检查等内容。 b）测评流程：核查管理制度文件。 c）预期结果：制度中具有软件资产管理、软件供应链安全风险识别处置、监督检查等内容 5. 1.2.2测评项 b 本项测评内容包括： a）测评指标：应制定软件供应链安全风险持续监测、风险评估和事件响应制度，明确不同等级安 全事件的报告、处置、响应的流程和机制，规定安全事件的现场处理、事件报告和后期恢复等要求， b）测评流程：核查管理制度类文件。 c）预期结果： 1）具有不同等级安全事件的报告、处置、响应的流程和机制； 2）具有安全事件的现场处理、事件报告和后期恢复等内容。 5.1.2.3测评项 c 本项测评内容包括： a）测评指标：应制定软件采购、获取、运维、废止等供应活动安全管理制度，例如安全开发、交 付部署和验收、故障处理和维护升级等管理制度、规程或机制。 b）测评流程：核查管理制度文件。 c）预期结果：具有软件采购、获取、运维、废止等供应活动中的相关安全要求。 5. 1. 2. 4测评项 d 本项测评内容包括： a）测评指标：应将软件供应链安全相关内容应纳入人员管理制度，例如人员权限、能力、资质 背景、技能培训等；对于重要岗位人员（如采购人员、安全测试人员、配置管理人员、漏洞管理人员等） 应明确并开展背景审查工作的要求。 b）测评流程：核查人员管理制度文件。 c）预期结果： 1）具有人员权限、技术能力、专业资质、安全背景、技能培训等要求； 2）具有对采购、安全测试、配置管理、漏洞管理等人员背景审查的要求。 5. 1.2.5测评项 e 本项测评内容包括： a）测评指标：应制定供应商管理制度，包括但不限于供应商资质审核、供应商分类分级、供应商 不良行为处理等。 b）测评流程：核查管理制度文件。 c）预期结果：具有供应商资质审核、供应商分类分级、供应商不良行为处理等内容。 5. 1.2. 6 测评项 f 本项测评内容包括： a）测评指标：应制定知识产权管理制度，包括但不限于软件授权证书、专利、软件著作权、许可 协议等内容。 b）测评流程：核查管理制度文件。 4 T/CSAC004—2024 c）预期结果：具有对专利、软件著作权、许可协议等制度内容。 5.1.3人员管理 5.1.3.1测评项 a 本项测评内容包括： a）测评指标：应明确人员需具备的软件供应链实体要素的识别和安全分析能力，如软件资产识别 分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等。 b）测评流程：核查管理制度文件和记录表单类文档。 c）预期结果： 1）具有软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等至少 项能力要求； 2）具有软件供应链实体要素的识别和安全分析能力的考核记录。 5.1.3.2测评项b 本项测评内容包括： a）测评指标：应划分人员的职责定位、权限级别，采用最小授权机制并建立操作规范，创建操作 日志。 b）测评流程：核查管理制度文件和记录表单类文档。 c）预期结果： 1）划分了软件供应链安全管理人员职责分工、权限级别； 2）根据工作任务分配了最小权限； 3）具有人员操作日志或记录。 5.1.3.3