一、服务说明
北京赛迪认证中心有限公司软件供应链安全能力认证服务依据GB/T 43698—2024《网络安全技术软件供应链安全要求》和CCID-JF-07020-2023《软件供应链安全能力测评规范》对企业、用户的软件产品提供软件供应链安全能力产品认证服务。围绕被评估软件产品及其组织开展软件供应链安全能力评估工作,涵盖软件产品供应链安全组织管理、软件产品供应活动2个能力域,共12个能力项。
二、服务目标
协助企业、用户建立软件供应链安全风险管理能力体系并持续改进,增强软件供应链安全风险管理、组织管理和供应活动管理能力,防范软件供应链中的供应关系风险(例如:软件供应中断、软件功能受限、软件服务降级等),防范供应活动引入的技术安全风险和知识产权风险(例如:软件漏洞、后门、篡改、伪造、许可协议不合规等),保障业务持续稳定安全运行。
软件供应链安全能力评估认证服务有助于企业推动完善软件供应链管理能力体系,提升软件供应链安全风险管理、组织管理和供应活动管理能力,保障软件和业务系统持续稳定运行;从供应链角度证明软件产品的安全能力,为用户进行软件产品选型提供依据,在激烈的市场竞争中提高产品可信度,有利于占领市场。
三、服务内容
软件供应链安全能力认证服务将针对组织及相应的软件产品开展测评,覆盖组织管理、供应链活动管理两个能力域。其中,组织管理主要从机构、制度、人员、供应商、知识产权等方面进行测评,供应活动管理主要从基本流程、软件开发、软件交付、软件采购、软件获取、软件运维、软件废止等方面进行测评。
目前,《软件供应链安全能力测评规范》中的软件供应链安全能力分为三个等级,由低到高依次为一级、二级、三级,企业或用户可根据自身情况选择相应的能力等级进行认证。
四、认证流程
五、成果物
1、软件供应链安全能力等级证书
2、软件供应链安全能力测评报告
