信息技术产品供应链安全要求

本标准规定了信息技术产品供应链的安全要求。 本标准适用于信息技术供应方和用户对信息技术产品供应链进行安全管理，也适用于第三方测评机构对信息技术产品供应链进行安全评估。 本项要求包括： a)供需双方签订合同时，供应方应明确声明不在产品中设置后门，不得通过销售的产品非法获取用户数据、非法控制或操纵用户相关系统或设备，不得通过需求方对产品的依赖谋取不正当利益，不得强迫用户对产品升级； b)供应方应承诺发现产品存在严重安全风险时，及时通知用户和相关厂商； c)选择供应方时，应重点考虑供应方中断产品供应、停止软件授权、拒绝升级或技术支持服务的风险； d)在产品的研发、生产制造过程中，拥有或被授权使用相关技术专利或知识产权的，授权时间宜在10年以上； e)采购产品及其部件应有多个供应源，可从多个国家或地区获得； f)供应方应具有中文版运行维护、二次开发等技术资料。