近年来,供应链安全事件频发,成为网络攻防焦点,影响国家关键基础设施安全。治理供应链安全迫在眉睫,要求各环节强化管理和资质。构建规范管理体系、提升防护能力成当务之急。公安部第三研究所起草标准,明确供应商安全能力要求及评价方法,旨在指导安全管理,保障供应链安全,促进供需双方安全合作,缓解网络安全隐患。
该项检测依据公安部第三研究所制定的《供应链安全·软硬件供应商网络安全能力评价标准》体系,针对企业的供应链安全能力体系进行等级评估,评估方式包括供应商风险的管理与排查、企业安全管理制度的建设与责任落实情况及进行系统核查与技术检验,软硬件供应商安全能力评价,主要包括评价准备、信息调研、正式评价、综合分析、评价总结五个阶段。
评 价 方 法
1 人员访谈
对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况。
2 文档查阅
查验安全管理制度、风险评估报告、检测报告等有关材料及制度落实情况的证明材料。
3 系统核查
核查网络环境、数据库和业务平台等相关系统和设备安全策略、配置、防护措施情况。
4 技术核验
应用技术工具、渗透测试等手段检测安全防护措施有效性。
评 价 依 据
1《网络安全法》《数据安全法》以及供应链具体生产活动保护相关法律,有关行政法规、司法解释。
2 政策,是规定在一定的主(监)管部门相关供应链安全规章、规范性文件历史时期内,应该达到的奋斗目标。
3 地方供应链安全政策规定和监管要求。
4 供应链安全相关国家标准、行业标准等。
评价依据包括但不限于以上内容。开展自评价时,本单位供应链安全制度规范可作为评价依据之一。
评 价 内 容
1 供应商通用能力
(供应商管理能力、供应活动过程能力、外部风险控制能力)
2 系统开发扩展能力
(开发总体管理、开发过程管理、开发资源管理)
3 系统开发扩展能力
(开发总体管理、开发过程管理、开发资源管理)
4 运营运维与安全服务扩展能力
(服务总体管理、服务过程)
5 集成建设扩展能力
(集成设计安全、集成实施安全、集成管理安全)
6 云服务扩展能力
(基础设施安全、云平台安全、服务安全)
7 数据服务扩展能力
(数据服务前、数据服务中、数据服务后)
评 价 分 析
计算软硬件供应商安全能力评价的通用能力和扩展能力适用条款比重,给出通用能力条款适用百分比,扩展能力条款适用百分比,软硬件供应商安全能力评价总适用百分比。
供应商适用的通用能力条款数与通用能力条款总数的比值。供应商适用某项扩展能力的条款数和该项扩展能力条款总数的比值。供应商适用的通用能力条款数和某项扩展能力条款数之和,与通用能力和该项扩展能力条款总数的比值。
微信二维码