T/GDCIA 002-2025 广东省工业和信息化领域链式企业网络安全保险服务标准.pdf

团体标 准

T/GDCIA

广东省工业和信息化领域链式企业网络 安全保险服务标准

CybersecurityInsuranceServiceStandardsforChainEnterprises in theIndustrialandInformationTechnologySectorofGuangdongProvince

广东省通信行业协会发布

目次

前 1 言1. 言 范围 2 .32. 规范性引用文件 ..3. 术语和定义 -35. 4. 缩略语 服务概述 ..6 .56. 供应链网络安全服务框架. 66.1. 服务目标 .6.2. 6.3. 服务主体 服务对象. ..86.4. 责任义务 .. .86.5. 服务手段 96.6. 服务内容， .97. 7. 1. 保险服务流程 风险评估阶段 14 147.2. 保险方案设计. 147.3. 保险合同履行. 157.4. 持续监测与理赔. 168. 8.1. 风险管理措施 预防措施 16 168.2. 控制措施. 168.3. 应急措施 ..16参考文献 8.4. 评估与改进 1617

前言

本文件参照GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》的规定起草.

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任.

本文件由广东省通信行业协会提出并归口，由广东省通信管理局指导.

本文件起草单位：国家工业信息安全发展研究中心、中国电信股份有限公司广东分公司、中国太平洋财产保险股份有限公司广东分公司、广东亿迅科技有限公司、广东省通信网络保障中心、华为技术有限公司、广州竞远安全技术股份有限公司、太保科技有限公司、广东工业大学计算机学院、鼎熙国讯科技有限公司.

本文件主要起草人：孙倩文、詹林献、贺景锋、王庆、雷兴华、罗志强、陈杰生、丘碧山、姜卉、邵艾青、方冬茹、王猛、隋光烨、王峰、程良伦、何刚、杨明、钟添雄、丁雨晗、黄政、马洁.

本文件其他起草人员：张文辉、吴科、黄伟平、李峰、李爱春、刘阳瑞、张静、柯文仪、陈瑞瑞、方汉周、林妙诗、胡嘉珍.

本文件为首次发布.

引言

在数字化浪潮席卷全球的当下，加强企业供应链的关键信息基础设施安全管理已经形成共识，应采取合理步骤来保证其保密性、完整性、可用性.很多国家和地区纷纷出台安全政策，采取测评认证、供应商的安全评估、安全审查等多种技术和服务手段加强企业供应链的信息和网络安全管理.

传统的安全管理模式难以应对关键信息基础设施和网络安全风险，保险服务团体标准的引入开创了”风险量化一控制强化一金融对冲”的新型治理范式.通过融合信息安全技术ICT供应链安全风险管理指南与保险业的风控要求，构建“供应链企业准入认证一组件潮源管控一风险转移触发”的三层防御体系，企业可在获得风险保障的同时，享受融资成本优化等政策红利.这种“技术治理金融工具“的双重赋能模式，不仅提升了关键信息基础设施的安全韧性，更推动了信息和网络产业生态的协同进化，为数字经济高质量发展构筑起新型信任基石.

本标准不规范信息技术产品供应方的安全行为准则.推荐在关键信息基础设施或重要信息系统中使用本标准.然面，由于个别需要和相关性，组织可选择将标准应用到其他系统或特定组织，不过应用本标准的控制措施可能会增加组织和外部供应链企业的潜在成本，需要组织在成本和风险间进行权衡.

本标准所涉及的政府采购评标加分等激励措施，其具体实施需符合广东省政府采购促进中小企业发展管理办法等地方政策规定，并由相关主管部门另行制定实施细则.

1.范围

本团体标准规定了供应链企业网络安全保险服务的适用范围、服务框架、服务内容、风险管理及评估改进要求.

本文件适用于供应链企业网络安全保险服务落地，旨在通过技术检测、风险预警、合规审查等手段，提升链式企业的网络安全风险治理能力，并为保险服务提供技术和服务支撑.

2.规范性引用文件

GB/T38674-2020信息安全技术应用软件安全编程指南

GB/T38702一2020供应链安全管理体系实施供应链安全、评估和计划的最佳实践要求和指南

GB/T 40753-2021供应链安全管理体系ISO28000实施指南GB/T43698-2024网络安全技术软件供应链安全要求GB/T45576-2025网络安全技术网络安全保险应用指南GB/T43848-2024软件产品开源代码安全评价方法GB/Z26337.1-2010供应链管理第1部分：综述与基本原理DB4403/T 28-2019 供应链企业分类与评估

3.术语和定义

GB/Z 26337. 1-2010、GB/T 43848-2024、GB/T 36637-2018、GB/T 38072-2020、GB/T22239-2019和GB/T45576-2025界定的以及下列术语和定义适用于本文件.

3. 1

供应链supply chain

生产及流通过程中，围绕核心企业，将所涉及的原材料供应商、制造商、分销商、零售商直到最终用户等成员通过上游或下游成员链接所形成的网链结构.

[来源：GB/Z26337.1-2010，定义3.1.1]

3. 2

链主企业 chain owner enterprise

链主企业是在产业链供应链中具有核心优势地位，对优化资源配置、技术产品创新和产业生态构建有重大影响力的企业.