中国信息通信研究院牵头,联合中国电信、中国移动、中国联通等30多家单位,开展《软件供应链安全能力成熟度参考模型》(以下简称SSC-CMM)研制工作,于2023年12月份进入报批阶段,同时基于该标准启动软件供应链安全治理探索。
一、SSC-CMM简介
1)评估内容
从风险应对、供应链关键要素、全链条安全需求、国内外标准实践四大角度,确定八大能力域。
2)评估方法
综合采用证据审核、验证测试、现场访谈核查、综合评估等方式对组织软件供应链安全能力进行全面分析评估。不同成熟度等级评估广度深度不同,高成熟度等级要求更高。
3)评价方法
基于SSC-CMM建立评价指标层次结构模型,通过专家打分、优序图法构造各能力域权重矩阵,确保成熟评估的科学性、合理性。
4)等级选择及受众
组织基于软件供应链安全目标选择所需成熟度能力等级,关键基础设施网络运营者建议选择三级及以上能力等级。
二、评估过程
成熟度评估工作包括初步评估和评审评定两大阶段,详见下图。
三、获证单位
四、后续规划
未来,信通院将基于成熟度探索一套包含监督管理、企业软件供应链安全治理体系建设、检测评估、工具研发、人才培养、闭环机制,以提升行业乃至国家软件供应链安全防护水平。
五、联系人及联系方式
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
