标准号:T/CSAC 020-2025
标准名称:信息与通信技术和服务供应商安全要求
团体名称:中国网络空间安全协会
发布日期:2025年07月08日
实施日期:2025年08月08日
本标准规定了信息与通信技术和服务供应商中六类供应商(系统开发、产品供应、运营运维与安全服务、集成建设、云服务、数据服务)在管理制度、供应活动各环节、对外资产风险、自身服务领域的安全能力要求与评价方法,从供应商通用能力及扩展能力两个纬度展开。其中,供应商通用能力包括供应商管理能力,要求供应商制定供应链安全管理工作的总体方针和安全策略,明确内部安全生产和管理工作的责任部门及相应职责,以及对人员、知识产权、保密等内容和环节的管理要求;供应活动过程能力,要求供应商对安全服务工具、供应链服务产品进行规范化管控,保障通信安全,遵循数据全生命周期相关法律法规,并制定应急预案和应急响应计划;外部风险控制能力,要求供应商制定资产管理规范、舆情管控策略,掌握自身互联网资产的安全状况,进行分类和风险控制。供应商扩展能力则分别对系统开发、产品供应、运营运维与安全服务、集成建设、云服务、数据服务六类供应商在管理制度、供应活动等方面提出安全要求,并根据要求内容形成评价内容、评价方法。
起草单位:公安部第三研究所、上海东航数字科技有限公司、上海德昶安测技术服务有限公司、上海证券交易所、国泰君安证券股份有限公司、中国工商银行数据中心、中国太平洋保险(集团)股份有限公司、核电运行研究(上海)有限公司、国网江苏省电力有限公司电力科学研究院、上海计算机软件技术开发中心、中国电信股份有限公司江苏分公司、联通(山西)产业互联网有限公司、中电智安科技有限公司、南方电网数字电网集团信息通信科技有限公司、中移(杭州)信息技术有限公司、四川中锐信息技术有限公司、中国交通信息科技集团有限公司、天翼安全科技有限公司、物产中大数字安全科技(浙江)有限公司、中国移动通信集团河北有限公司、大庆中基石油通信建设有限公司、山东省网安数字科技有限公司、广西广电大数据科技有限公司、贵州省华测检测技术有限公司、墨菲未来科技(北京)有限公司、南京众安信息科技有限公司、上海齐同信息科技有限公司、北京安普诺信息技术有限公司、浙江路为科技有限公司、杭州安恒信息技术股份有限公司、上海斗象信息科技有限公司。
起草人:唐晓婷、李蓓、张宇、陈晓霖、东明、曾峥、杨木超、魏东、樊芳、徐良、李佶、李进明、翁伟刚、成辰、饶杰杰、朱宏亮、李俊斌、高峰[ 高峰 中国太平洋保险(集团)股份有限公司]、游江东、顾智敏、郭静、刘振宇、毛争艳、徐倩华、陈亚男、鲍亮、盛小宝、俞少华、黄菊、魏丽萍、刘卓、张鹤、蔡倩楠、许敏、魏渊、殷正伟、秦玉龙、刘艺、高磊、柏姗姗、高峰[ 高峰 四川中锐信息技术有限公司]、陈平、陈艺坤、王君岚、刘懿、胡健、朱凌军、姜博文、田毅、王庆伟、常小涛、龙军、刘波、甘泉、卢新、章华鹏、苗叶、曹育生、张涛、黄廷嵩、周亚超、徐钟豪。