标准摘要
[中文适用范围]: 本文件重点关注供应链的安全性,而非供应链的业务管理方面。本文件全面介绍了供应商应采取哪些措施才能被视为“诚信建设”的可信技术供应商。这包括供应商在其内部产品生命周期流程中采用的实践,即“内部”产品开发部分,他们对其有更直接的运营控制权。此外,它还包括供应商在整合第三方硬件或软件组件时,或依赖外部制造和交付或支持服务时需要遵循的供应链安全实践。本文件区分了供应商和供应商。供应商是向供应商或集成商提供组件或解决方案(软件或硬件)的上游供应商。供应商是直接向下游集成商或收购方提供 COTS ICT 产品的供应商。本文件中包含的指南、要求和建议应被供应商及其供应商广泛采用,无论规模大小,并将为整个行业带来好处。对于此版本的 O-TTPS,以下元素被认为超出范围:——本文档不关注收购方的指南、要求和建议;OTTF 正在考虑在单独的补充出版物(如指南)中解决这一问题。与此同时,收购方确实应该发挥作用,确保他们采购的产品和组件是完整制造的。收购方可以做到这一点的方法之一是要求其提供商、供应商和集成商成为可信技术提供商。另一种方法是不要故意支持“灰色市场”,意识到如果收购方选择从灰色市场供应商那里获得硬件或软件支持,则需要自行承担风险,并且通常不受合法提供商的影响。本文档并非旨在全面介绍提供商在构建软件或硬件时应遵循的所有实践;有关提供商可以实施以生产优质产品的更全面的基础最佳实践,读者可以参考 O-TTPF 指南。 — 本版本不适用于在线服务的运营或托管基础设施,但只要这些服务使用 COTS ICT 产品,它就可以应用于这些产品。本文档是对现有产品安全功能和产品信息保证标准的补充,例如 ISO/IEC 15408(通用标准)。1.1 一致性 开放组已制定并维护了 O-TTPS 的一致性标准、评估程序和认证政策与计划,作为所有关注供应链安全的参与者的有用工具。一致性要求和评估程序可在 O-TTPS 第 2 部分:O-TTPS 评估程序中找到。 认证正式认可了对 O-TTPS 的一致性,从而允许: — 提供商和从业者明确声明并证实其符合 O-TTPS 的一致性 — 收单方指定并成功从符合 O-TTPS 的提供商处采购 1.2 未来方向 OTTF 打算在未来版本中通过最佳实践要求和建议来解决可能的其他威胁和风险。 OTTF 旨在为寻求根据本文件认证的不同类别的可信技术提供商提供额外指导。 [外文原描述]: ISO/IEC 20243-1:2018 (O-TTPS) is a set of guidelines, requirements, and recommendations that address specific threats to the integrity of hardware and software COTS ICT products throughout the product life cycle. This release of the Standard addresses threats related to maliciously tainted and counterfeit products. The provider's product life cycle includes the work it does designing and developing products, as well as the supply chain aspects of that life cycle, collectively extending through the following phases: design, sourcing, build, fulfillment, distribution, sustainment, and disposal. While this Standard cannot fully address threats that originate wholly outside any span of control of the provider ? for example, a counterfeiter producing a fake printed circuit board assembly that has no original linkage to the Original Equipment Manufacturer (OEM) ? the practices detailed in the Standard will provide some level of mitigation. An example of such a practice would be the use of security labeling techniques in legitimate products.
英文名称Information technology - Open Trusted Technology ProviderTM Standard (O-TTPS) - Part 1: Requirements and recommendations for mitigating maliciously tainted and counterfeit products