信息技术产品供应链安全评价规范（编制说明）
随着贸易的不断开放和市场经济全球化，IT产品供应链变得越发复杂。IT产品可能在不同的国家和地区生产、组装、销售。任何一个环节遭到破坏都有可能给未来的用户留下隐患漏洞，使其遭受不确定的损失。就软件来说，如果在软件开发过程中对未保护的代码留有后门或者在设计和质量上出现瑕疵，则有可能使未来的恶意攻击者能够轻易破坏用户软件的运行。IT产品在软件更新、技术升级的过程中，如果遭到未经授权的访问、使用未经测试的软件升级补丁等也会造成IT产品服务安全性的减损。就硬件而言，在其制造过程中，带有不良企图的生产者可能在制造设备时嵌入恶意软件，使设备存在漏洞，从而使得该产品的使用者受到远程控制或破坏。此外，供应商生产任务的层层外包、地缘政治的混乱、不同国家政策的进出口限制、假冒产品的恶意替换等因素都成为阻碍IT产品供应链正常供应的风险因素，增加了供应链被破坏的几率。由于IT产品和服务嵌入了技术要素，IT产品供应链的不确定性会导致利用技术攻击国家信息系统的安全风险广泛存在。这种由IT技术为基础搭建的信息化社会发展态势昭示了研究IT产品供应链与国家安全的问题的至关重要性，加强IT产品供应链国家安全监管，促进国家间对保护IT产品供应链安全的问题达成共识迫在眉睫。加强供应链安全管理已经成为保障国家安全的重要手段。