深度参编︱悬镜安全领衔编制《关键信息基础设施供应链安全要求》团体标准正式发布

近日，中关村华安关键信息基础设施安全保护联盟发布《关键信息基础设施安全服务能力要求》编号：T/CIIPA 00006—2024、《关键信息基础设施供应链安全要求》编号：T/CIIPA 00009—2024、《关键信息基础设施安全检测评估能力要求》编号：T/CIIPA 00007—2024三项团体标准。由悬镜安全深度参与编制的《关键信息基础设施供应链安全要求》正式获批发布，并于2025年3月9日起开始实施。

目前，关键信息基础设施已成为国家安全、经济稳定运行和社会公共服务的重要基石，其供应链安全性问题日益凸显，直接关系到核心数据和整个系统安全。近年来，供应链已成为黑客攻击的关键环节，任何供应链环节的疏漏都可能对整体安全构成严重威胁。网络攻击者常利用对目标漏洞的深入了解，辅以先进的技术和工具，对供应链发起攻击，特别是对开源软件漏洞的利用，已成为攻击者渗透网络系统的重要途径。随着开源软件的广泛应用,软件供应链攻击的成本和难度大幅降低，而攻击范围却在不断扩大，检测难度日益增加，攻击事件的数量也呈持续上升趋势。

鉴于此，关键信息基础设施供应链安全的重要性不言而喻，它不仅关乎个体的数据安全，更涉及国家安全、经济安全和社会公共服务的稳定运行。为了全面提升关键信息基础设施供应链安全能力，有效防范和控制供应链引发的重大网络安全威胁，亟需制定一套科学、系统、实用的供应链安全能力规范。

在《关键信息基础设施供应链安全要求》起草和编制的过程中，悬镜安全结合自身在数字供应链安全领域的实践经验，深入参与标准内容的细化与优化，确保其既能满足行业实际需求，又具备广泛的适用性和前瞻性。这不仅提升了标准的专业性和权威性，也为关键信息基础设施安全建设提供了更有力的实践指导。

此项标准旨在规范关键信息基础设施的供应链安全管理，为关键信息基础设施运营者及网络安全服务机构等提供明确的指导和要求。通过健全完善供应链安全管理制度，落实供应链安全管控措施，加强防范供应链风险能力，构建一个更加安全、可靠、高效的关键信息基础设施供应链体系，为国家网络安全提供坚实保障。

标准范围

规范内容：标准规定了关键基础设施的供应链安全总体要求，风险识别、管控要求、准入要求和外部组件的供应链安全管理要求。

适用对象：标准适用于指导CII运营者对关键信息基础设施开展供应链安全防护，也为网络安全服务机构制定供应链安全解决方案提供参考。

CII供应链安全总体要求

01 供应链安全风险分析

实施供应链安全管理，识别供应方、使用人员、以及提供的产品、服务中存在的安全风险，从需求方视角对供应方的选择与经营能力、人员的选用与退出等多方面风险进行了识别，并重点对产品的研发、供应和运维环节，以及服务装备和方式等多个层面进行了详细分析，为安全管控的要求提供依据。

02 供应链安全管控措施

从四个方面开展供应链的安全管控，应对安全风险。一是对实施审查过程管理的要求，确保供应链安全管理各环节都受到严格的审查和监管；二是对安全管理建设层面提出要求，确保管理工作的高效、有序展开，为各环节提供必要的支持和保障；三是对使用技术管控手段提出安全要求，及时发现并处置潜在安全问题；四是从人员的安全管理层面提出要求，降低人员使用风险，确保具备必要的安全意识和技能。

03供应链安全准入策略

安全准入作为供应链安全管理全生命周期中最重要的一环，从供应方、人员、产品和服务四个方面制定了具体的规范要求，保障在供应方筛选、人员的选择和管理，以及产品和服务的准入方面具备可执行性，明确安全责任。

04 外部组件供应链安全要求

在供应链安全管理中，外部组件的使用由于没有明确的供需方合同约束，需求方应加强自身的管理约束，从组件获取、使用、更新、风险监测等方面提出了相应的安全管理要求，包括源代码安全、第三方组件安全、集成与分发安全、可追溯性等四部分内容，对外部组件的使用与管理进行约束，明确了清单的使用要求，提升发现和处置问题隐患的能力。

注：受限于篇幅，以上内容仅摘取重点部分。

作为全球数字供应链安全开拓者，悬镜安全专注于推动行业整体发展，凭借在项目建设实践中积累的先进技术、可靠产品和丰富经验，主导或参与了已完成发布标准包括：软件供应链安全、DevSecOps敏捷安全、开源治理、积极防御、安全运营等细分类别网络安全产品、服务等能力评价标准的制定，如《网络安全技术 软件供应链安全要求》、《网络安全技术 软件产品开源代码安全评价方法》、《软件供应链安全服务机构能力要求》、《软件成分分析（SCA）知识库总体技术要求》、《软件物料清单工具能力要求》等重要国家标准10余项、行业标准30余项和团体标准10余项的研制工作，正在主导和参与的在研标准累计包括40余项国家标准、行业标准和团体标准，进一步促进了我国信息安全产业的健康和规范化发展。

未来，悬镜安全将全力践行企业责任做好标准研制和宣贯推广工作。同时，悬镜安全以“AI智能代码疫苗”技术内核，打造了原创专利级“多模态SCA+DevSecOps+SBOM情报预警”的第四代DevSecOps数字供应链安全管理体系，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演讲的共生积极防御体系，悬镜安全将充分发挥自身在数字供应链安全领域的技术创新与产品革新优势，不断提升数字供应链安全防护能力，通过创新实践成果，为标准体系的建设注入源源不断的活力，助力行业规范化和标准化进程，持续守护中国数字供应链安全。