ICS 33.050 CCS M 30 团体标准 T/TAF 132-2022 网络产品供应链安全要求 物流要求 Security requirements for network product supply chain— Logistic s requirements 2022-09-15发布 2022-09-15实施 电信终端产业协会 发布 T/TAF 132—2022 I 目 次 前言 ................................ ................................ ................ II 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 缩略语 ................................ ................................ ............ 2 5 物流要求概述 ................................ ................................ ...... 2 6 网络产品供应链物流安全管理通用要求 ................................ ................ 5 6.1 风险管理 ................................ ................................ ....... 5 6.2 物流服务商管理 ................................ ................................ . 5 6.3 物流技术和标准 ................................ ................................ . 6 6.4 物流IT系统安全 ................................ ................................ 6 6.5 物流基础设施安全和准入控制 ................................ ..................... 6 7 网络产品物流安全要求 ................................ .............................. 7 7.1 运输管理 ................................ ................................ ....... 7 7.2 清关 ................................ ................................ ........... 7 7.3 仓储管理 ................................ ................................ ....... 7 7.4 逆向 ................................ ................................ ........... 8 7.5 软件的传输和交付 ................................ ............................... 8 7.6 个人信息保护 ................................ ................................ ... 9 参考文献 ................................ ................................ ............ 10 T/TAF 132—2022 II 前 言 本文件按照 GB/T 1.1—2020《标准化 工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是网络产品供应链安全要求系列标准之一，该系列标准结构 如下： ——《网络产品供应链安全要求》 ——《网络产品供应链安全要求 采购要求》 ——《网络产品供 应链安全要求 物流要求》 ——《网络产品供应链安全要求 制造要求》 请注意本文件中的某些内容可能涉及专利。本 文件的发布机构不承担识别 专利的责任。 本文件由电信终端产业协会 提出并归口。 本文件起草单位： 中国信息通信研究院、 华为技术有限公司、联 想（北京） 有限公司、中兴通讯股 份有限公司、 新华三技术有限公司、成都泰瑞 通信设备检测有限公司、杭州迪普科技股份有限公司、 浪 潮电子信息产业股份有限公司 、深圳市腾讯计算机系统有限公司 。 本文件主要起草人： 张治兵、薄菁、郭春颖、刘兵、薛勇波、陈鹏、李汝鑫、刘俊、刘微 、吴翔宇、 周继华、吴萍、童天予、 万晓兰、仇俊杰、 宋桂香、倪平。 T/TAF 132—2022 1 网络产品供应链安全要求 物流要求 1 范围 本文件提出了网络产品在物流环节的安全管理、 组织机构和人员、 信息系统等 不同等级的安全要求， 包括原材 料的接收、存储、转运、产品包装、交 付、逆向等过程的安全要求。 本文件适用于网络产品的提供者对供应链物流过程进行安全管理， 也可为网络产品的采购者和第三 方机构对网络产品物流过程进行安全性评价时提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中，注日期的引用文件， 仅该日期对应的版本适用于本 文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB 40050—2021 网络关键设备安全通用要求 GB/T 36637 —2018 信息安全技术 ICT供应链安全风险管理指南 T/TAF 073—2020 网络产品供应链安全要求 ISO 31000 :2018 风险管理 -准则 (Risk management — Guidelines) 3 术语和定义 下列术语和定义适用于本 文件。 3.1 网络 network 是指由计算机或者其他信息 终端及相关设备组成的按照 一定的规则和程序对信息进行收集、存储、 传输、交换、处理的系统。 [来源：T/TAF 073 —2020，3.1] 3.2 网络产品 network product 是指作为网络组成部分以及维持网络功能的设备、软件等。 [来源：T/TAF 0 73—2020，3.2] 3.3 供应链 supply chain 通过多个资 源和过程联系在一起的一系列组织， 根据由服务协议或其他采购协议建立连续的供应关 系，每个组织充当一个需求方、提供方或双重角色。 [来源：T/TAF 073 —2020，3.3] 3.4 供应商 supplier 与需求方签订协议以提供产品或服务的组织或个人 ，具体包括 ： ——信息系统、系统部件或软硬件产品的开发者或生产者； T/TAF 132—2022 2 ——货架产品供应商； ——产品经销商； ——提供运维等服务的服务商 ； ——提供运输仓储等物流服务的服务商等 。 [来源：T/TAF 0 73—2020，3.7，有修改 ] 3.5 采购 purchase 指需求方在一定的条件下从供应市场获取产品或服务作为组织资源， 以保证 需求方生产及经营活动 正常开展的一项经营活动。 [来源：T/TAF 073 —2020，3.8，有修改 ] 3.6 物流 logistics 物品从供应地向接收地的实体流动过程。根据实际需要，将运输、储存、装卸、搬运、包装、流通 加工、清关、配送、信息处理等基本功能实施有机结合。 [来源：T/TAF 073 —2020，3.9，有修改 ] 3.7 关键部件 critical component 存储软件、数据的介质以及具备 数据处理能力的部件。如芯片、存储 介质、可编程控制器件等。 [来源：T/TAF 073 —2020，3.10] 3.8 逆向 reverse 产品从网络产品的提供者 客户处直接或通过渠道返回到 网络产品的提供者 ， 以及从网络产品 供货方 /厂商仓库、维 修点 (包括其所属自有维修点和维修服务商 )等向其下一处理环节回运 ，进行检测、维修、 再利用或报废的过程 。 4 缩略语 下列缩略语适用于本 文件。 TAPA FSR ：运输