行标《国家综合交通运输信息平台软件供应链安全评估规范》征求意见
由交通运输部科学研究院等单位负责编制的交通运输行业标准《国家综合交通运输信息平台软件供应链安全评估规范》(计划编号:JT 2025-31)已完成征求意见稿并公开征求意见。主要技术内容为国家综合交通运输信息平台软件供应链安全评估的 评估原则、评估对象、评估方法、评估内容、评估流程、评估风险规避的要求,适用于国家综合交通运输信息平台软件供应链安全评估工作的组织、实施与监督。
主要内容如下:
01
评估原则
规定了客观公正、可复现性、最小影响性、保密性、完整性5项评估原则的内容描述。
02
评估对象
规定了国家综合交通运输信息平台涉及的软件及组件类型。
03
评估方法
1、规定了评估方针对供应商的机构管理、制度管理、人员管理、知识产权管理的安全评估内容,采用交流、讨论、询问等人工核验评估方法,对安全保障措施的有效性开展评估。
2、规定了评估方采用技术检测工具进行评估时,所明确的测试环境、测试内容、测试准入条件和测试准出条件等。
04
评估内容
主要依据了GB/T43698、GB/T34944、GB/T 34943、GB/T 34946中要求,同时参考了《信息安全技术ICT供应链安全风险管理指南》(GB/T36637)、《信息技术软件安全保障规范》(GB/T30998)、《信息安全技术信息技术产品供应方行为安全准则》(GB/T 32921)、《软件过程及制品可信度评估》(GB/T 37970)、《信息安全技术应用软件安全编程指南》(GB/T 38674)中要求。
05
评估流程
规定了启动评估工作、确定评估范围与目标、信息收集与分析、准备检测工具、评估实施、输出评估报告、风险整改建议与修复结果确认7项流程的具体工作内容。
06
评估风险规避
提出通过协议约束与流程管控规避评估风险,同时结合行业在安全评估工作中的实际经验总结,形成了针对线上评估风险规避和现场评估风险规避措施。