软件供应链安全评估
一、业务介绍
依据国家标准《信息安全技术 软件供应链安全要求》,中国软件评测中心组织编制了编制了《软件供应链安全能力评估规范》。为了更好地帮助企业、用户识别软件供应链安全风险,促进软件供应链安全能力提升,基于该评估规范,中国软件评测中心开展了软件供应链安全能力评估服务。通过该评估,有助于企业推动完善软件供应链管理能力体系,提升软件供应链安全风险管理、组织管理和供应活动管理能力,保障软件和业务系统持续稳定运行,同时也是产品信创属性的有力体现;从供应链角度证明软件产品的安全能力,为用户进行软件产品选型提供依据,在激烈的市场竞争中提高产品可信度,有利于占领市场。
二、评估内容
软件供应链安全能力评估服务将针对组织及相应的软件产品开展评估,主要涵盖组织管理、供应链活动管理两个能力域。
其中,组织管理主要从机构、制度、人员、供应商、知识产权等方面进行评估,供应活动管理主要从基本流程、软件开发、软件交付、软件采购、软件获取、软件运维、软件废止等方面进行评估。目前,《软件供应链安全能力评估规范》中的软件供应链安全能力分为三个级别,由低到高依次为一级、二级、三级,企业或用户可根据自身情况选择相应的能力级别进行评估。
三、评估流程
四、典型案例
