软件供应链安全评估与认证-
中兴通讯、麒麟软件、统信软件、浪潮电子、中国移动
一、案例背景
以上案例面向软件产品研发企业及全行业用户单位,应用场景为对软件产品进行供应链安全能力评估,可用于企业或用户组织内部进行软件供应链安全风险排查,促进软件产品研发企业或用户单位进行软件供应链安全风险管理体系建设。
二、 解决方案
中国软件评测中心作为《GB/T 43698—2024网络安全技术 软件供应链安全要求》标准的核心编制单位之一,依据该标准编制了企标CCID-JF-07020-2023《软件供应链安全能力测评规范》,并通过评估认证的模式将GB/T 43698—2024《网络安全技术 软件供应链安全要求》中软件供应链安全风险管理要求、需方安全要求、供方安全要求等核心内容进行落地,针对组织及相应的软件产品开展评估,涵盖组织管理、供应链活动管理2个能力域,共计12个能力项,86项评估指标。软件供应链安全能力划分为1级(基础级)、2级(规范级)、3级(优化级)。
三、达到什么效果
该案例已对包括中兴通讯、超聚变、麒麟软件、统信软件、浪潮信息等在内的9家企业研发的16款软件产品进行了软件供应链安全能力评估认证,覆盖操作系统、 数据库 、云产品等关键基础软件,受到企业及用户单位的认可。通过该评估认证,软件产品研发单位对当前组织内的软件供应链安全管理工作现状进行了系统梳理和掌握,及时发现了工作中存在的问题和不足,切实推动了组织内部相关制度、规范、流程的建立和落实。该评估认证从供应链角度证明软件产品的安全能力,帮助软件产品更好的推广,为软件产品创造价值,同时,为用户进行软件产品选型提供依据和参考。
