由交通运输部科学研究院等单位负责编制的交通运输行业标准《国家综合交通运输信息平台软件供应链安全评估规范》（计划编号：JT 2025-31）已完成征求意见稿并公开征求意见。主要技术内容为国家综合交通运输信息平台软件供应链安全评估的 评估原则、评估对象、评估方法、评估内容、评估流程、评估风险规避的要求，适用于国家综合交通运输信息平台软件供应链安全评估工作的组织、实施与监督。

主要内容如下：

01

评估原则

规定了客观公正、可复现性、最小影响性、保密性、完整性5项评估原则的内容描述。

02

评估对象

规定了国家综合交通运输信息平台涉及的软件及组件类型。

03

评估方法

1、规定了评估方针对供应商的机构管理、制度管理、人员管理、知识产权管理的安全评估内容，采用交流、讨论、询问等人工核验评估方法，对安全保障措施的有效性开展评估。

2、规定了评估方采用技术检测工具进行评估时，所明确的测试环境、测试内容、测试准入条件和测试准出条件等。

04

评估内容

主要依据了GB/T43698、GB/T34944、GB/T 34943、GB/T 34946中要求，同时参考了《信息安全技术ICT供应链安全风险管理指南》（GB/T36637）、《信息技术软件安全保障规范》（GB/T30998）、《信息安全技术信息技术产品供应方行为安全准则》（GB/T 32921）、《软件过程及制品可信度评估》（GB/T 37970）、《信息安全技术应用软件安全编程指南》（GB/T 38674）中要求。

05

评估流程

规定了启动评估工作、确定评估范围与目标、信息收集与分析、准备检测工具、评估实施、输出评估报告、风险整改建议与修复结果确认7项流程的具体工作内容。

06

评估风险规避

提出通过协议约束与流程管控规避评估风险，同时结合行业在安全评估工作中的实际经验总结，形成了针对线上评估风险规避和现场评估风险规避措施。