文章总结： 该文档介绍了英国CAF网络评估框架4.0中关于供应链安全的原则A4，强调组织需理解并管理因依赖供应商而产生的网络安全风险，确保第三方服务满足安全要求。核心内容包括供应链风险识别、合同担保、数据保护、安全软件开发与云服务安全等方面的指导，并提供了达成、部分实现和未达成的具体评估标准。文档还列举了NCSC及相关外部资源作为进一步参考。 综合评分： 78 文章分类： 供应链安全,安全建设,技术标准,政策法规,解决方案

英国CAF网络评估框架4.0：原则A4供应链

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年2月22日 00:00 河南

建立适当的组织结构、政策、流程和程序，以理解、评估并系统管理支持关键功能的网络和信息系统的安全风险。

原理

该组织理解并管理支持因依赖供应商而产生的关键功能运行的网络和信息系统的安全风险。这包括确保在使用第三方服务时采取适当措施。

描述

如果组织依赖第三方（如外包或基于云的技术服务），则仍需对任何关键职能的保护负责。这意味着无论该职能由拥有方还是第三方运营，都应有信心满足所有相关安全要求。

对于许多组织来说，使用第三方技术和服务可能是明智之举。在使用这些技术和服务时，合同协议中提供保护其核心功能所依赖事物的条款非常重要。

指导

负责关键职能的组织需要确保在使用第三方供应商时，满足所有相关的安全要求。这意味着在与提供关键职能相关的部分，必须考虑若干具体的供应链相关安全考量。这可能包括：

确保与第三方共享的数据得到保护。这包括保护数据免受未经授权访问、修改或删除等可能对任何重要功能产生不利影响的行为（参见原则B3）。

有效规范从外部第三方采购或组织其他部门采购的产品或服务的安全属性，这些属性对保护核心职能至关重要。这应包括从这些原则其余部分推导出的安全要求。

确保任何网络连接或与第三方的数据共享不会引入可能影响核心功能安全的未管理漏洞。

对第三方供应商的信任，从而能够管理恶意破坏产品或系统安全、影响核心功能的企图。

供应链安全

我们关于供应链安全的指导概述了供应链风险。它还提供了进一步阅读和指导的参考资料。

安全软件开发与支持

你的组织需要对所使用的软件充满信心。健全的软件开发和支持实践帮助组织更好地管理不良软件开发实践带来的风险，并维护对支持其核心功能的网络和信息系统的信任。

NCSC Secure的开发与部署指南可以帮助您改进和评估您的开发实践，以及供应商的做法。同样，软件安全规范也被制定出来，旨在提升组织和企业依赖的软件的安全性和弹性。

云服务安全

如果您的组织依赖云服务，您应对现有的网络安全措施充满信心。请参考NCSC云安全原则8：供应链中的云专门供应链保障指南，以及众多云安全保障资源，包括云安全联盟（CSA）安全、信任与保障注册（STAR）等行业方案、学术研究和云服务提供商信息。

A4.a 供应链

您理解并有效管理供应商与支持其核心职能运行的网络和信息系统安全相关的风险。

| 未达成 | 部分实现 | 已达成 | | — | — | — | | 以下至少有一个命题是正确的： | 以下所有陈述均为真： | 以下所有陈述均为真： | | 你不知道供应商持有哪些属于你的数据，或者它们是如何管理的。 供应链中的关键功能部分是分包的，你几乎看不到分包商的情况。 你不了解哪些合同是相关，或者相关合同没有规定适当的担保义务。 供应商可以访问提供你基本功能的系统，这些系统不受限制，无需监控，也无法绕过你自己的安全控制。 | 您了解供应商可能对您核心职能构成的一般风险。 你了解支撑你基本职能的供应链范围，包括分包商。 支持你核心职能的网络和信息系统的供应商，可以在常见威胁背景下展示适当且相称的网络安全水平。 你了解哪些合同是相关，并在相关合同中包含适当的担保义务。 你了解所有第三方连接，并有保证它们符合贵组织的安全要求。 您的安全事件管理方法会考虑供应链中可能发生的事故。 您可以放心，与供应商共享的、对执行你基本职能至关重要的信息，会受到适当的保护，免受共同威胁。 | 你对供应链有深刻的了解，包括分包商及其面临的更广泛风险。 你会考虑供应商的所有权、国籍、合作伙伴关系、竞争对手、他们分包的其他组织以及他们对网络安全的态度。这些因素会影响您的风险评估，并在采购生命周期和采购决策中被充分考虑。 您的供应链风险管理方法考虑了能力强大且资源充足的威胁行为者颠覆供应链对支持你核心功能所带来的网络和信息系统的风险。 支持你核心职能的网络和信息系统的关键供应商，可以在有能力且资源充足的威胁行为者背景下，展示适当且相称的网络安全水平。 您可以放心，供应商持有的对支持您核心功能运行的网络和信息系统至关重要的信息，能够受到有能力且资源充足的威胁行为者的适当保护。 你了解哪些合同是相关性的，并且在相关合同中包含适当的担保义务。 你对合同管理采取了积极主动的态度，可能包括相关合同的合同管理计划。 客户/供应商的责任归属在合同中有明确定义。 所有网络连接和与第三方的数据共享都得到有效且按比例的管理。 在适当情况下，您的事件管理流程与供应商的流程在事故解决过程中相互支持。 |

A4.b 安全软件开发与支持

你积极最大化使用安全且支持的软件，无论是内部开发还是外部采购，在支持你基本职能运行的网络和信息系统中。

| 未达成 | 部分实现 | 已达成 | | — | — | — | | 以下至少有一个命题是正确的： | 以下所有陈述均为真： | 以下所有陈述均为真： | | 您的软件供应商并不知道所提供软件的组成和来源。 软件，包括更新和补丁，几乎没有经过测试。 更新和补丁常常带来新问题，或未能解决现有问题。 尽管实施缓解措施几乎没有困难，但软件中仍会发现漏洞。 | 您的软件供应商采用安全的开发原则和实践。 您的软件供应商可以证明对所提供软件的组成和来源了解有限。 你认为环境（如开发、测试和生产环境），包括源代码和代码库，在软件生产中使用的安全性在常见威胁背景下是适当且相称的。 测试体系采用多种方法（如静态与动态分析、单元测试与集成测试以及点点评估），验证开发生命周期的所有方面，涵盖功能测试和非功能测试。 您与软件供应商已有协议，能够及时接收安全更新、补丁和通知。 软件，包括更新和补丁，都通过安全渠道从您的供应商处获取。 您的软件供应商已有识别、报告和缓解安全漏洞的流程。 您与软件供应商已有协议，会收到任何可能对支持您核心职能的网络和信息系统产生不利影响的重要事件通知。 如果使用开源软件，您已采取适当且相称的措施，建立并维持对其安全性的充分信心。 你已经有了适当的支持和维护安排。 | 您的软件供应商依赖成熟的安全软件开发框架（例如NIST安全软件开发框架（SSDF）、Microsoft安全开发生命周期（SDL））。 您的软件供应商可以充分了解所提供软件的组成和来源，包括开发过程中使用的第三方组件，并且这些组件在整个产品生命周期内都会被监控以防出现新的漏洞。 你认为环境（如开发、测试和生产环境），包括源代码和软件仓库，在软件生产中使用的安全性，在有能力且资源充足的威胁行为者背景下是适当且相称的。 软件开发生命周期基于对威胁的详细且最新的理解，并应用适当技术，如威胁建模，以识别和评估潜在漏洞和攻击向量。 你可以证明软件的真实性和完整性，包括更新和补丁。 |

附加信息

NCSC指导

供应链安全指导

云安全指导。原则8：供应链安全

供应链指导

如何评估并获得对供应链网络安全指导的信心

NCSC 安全开发与部署指导

NCSC 漏洞披露工具包

NCSC：评估“可原谅”与“不可原谅”漏洞的方法

NCSC 大规模提升软件网络韧性

NCSC 安全人工智能系统开发指南

外部资源

云安全联盟。安全、信任、保证与风险（STAR）

NPSA供应链指导

将网络韧性融入地方政府供应链

NIST标准800-53

NIST标准800-82

IEC 62443

ISO/IEC 27001

英国政府软件安全作守则

英国政府人工智能网络安全作守则

ISO/IEC 29147：2018 信息技术 – 安全技术 – 漏洞披露

NIST安全软件开发框架

Microsoft 安全开发生命周期（SDL）

ETSI保障人工智能（SAI）;人工智能模型和系统的基线网络安全要求

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《英国CAF网络评估框架4.0：原则A4供应链》