《软件供应链安全政策汇编》由上海德昶安测技术服务有限公司于 2025 年 2 月编制。该汇编梳理了截至 2025 年 1 月国内外相关政策法规和标准规范，还详细介绍了国内首个凯发国际官网相关国标，为行业提供重要参考，助力企业应对安全挑战，推动行业安全发展。

　　背景：数字化时代软件供应链安全问题严峻，我国高度重视并积极推进防护体系建设，上海成立标准专班开展相关工作，包括标准研究制定与推广落地，协助编制多项标准并参与执法检查等，推动行业生态建设。

　　国外政策法规：涵盖 ISO 及美国、欧盟等发布的多项标准和法案，如 ISO28000 - 2022 规定供应方行为准则，美国诸多法案管控软件供应链安全各环节，欧盟相关指令和法案强化关键信息通信技术供应链安全等。

　　国内政策法规：涉及《网络安全法》等法律法规及多项国家标准，分别从网络审查、产品服务安全、各环节安全管理等方面对软件供应链安全提出要求，且不断更新完善。

　　行业标准：列举金融、公安等行业的相关标准，如金融行业开源软件测评等规范，公安行业在途的安全工具及供应商安全能力标准等。

　　标准概况：2024 年 4 月 25 日发布，11 月 1 日实施，适用于指导供需双方管理及第三方检测评估等，由多单位起草。

　　主要内容：确立安全目标为建立风险管理体系等；保护框架规定供需双方风险管理及组织、供应活动管理要求；风险管理包括基本流程、图谱构建、风险评估与处置；供需双方安全要求涵盖组织管理（机构、制度、人员、供应商、知识产权管理）和供应活动管理（基本流程及采购、获取、运维、废止各环节要求）。附录提供软件供应链安全概述、关键软件资产、业务场景分类、安全图谱等资料性内容及参考文献。