安全和韧性 产品和文档的真实性、完整性和可信性 保护计划的制定、监督及其实施指南 征求意见稿.pdf

GB/TXXXXX—XXXX/ISO22384:2020

安全和韧性产品和文档的真实性、完整性和可信性保护计划的

制定、监督及其实施指南

1范围

本文件通过制定适当的保护计划，支持其实施，并在实施后监控其有效性，为评估与产品安全有关

的威胁、风险和对策提供指南。

包括考虑对诸如产品生命周期、供应链、制造、数据管理、品牌认知和成本等方面的影响和修正，

从而相应地调整保护计划。

本文件适用于希望确保产品的真实性和完整性的所有类型和规模的组织，从而支持产品的可信度，

包括与产品相关的文件、数据和服务。

本文件支持组织建立评估风险的程序，并选择和结合个别措施来制定产品保护计划。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

ISO22300安全和韧性术语（Secrityandresilience—Vocabulary）

3术语和定义

ISO22300界定的以及下列术语和定义适用于本文件。

3.1

品牌brand

无形资产，包括但不限于名称、用语、符号、形象、标识、设计或其组合，用于区分产品、服务和

（或）实体，或兼而有之，能够在利益相关方意识中形成独特印象和联想，从而产生经济利益（价值）。

[来源：GB/T39654-2020/ISO20671:2019，3.1]

3.2

品牌盗版brandpiracy

未经品牌所有者许可擅自使用某一品牌（3.1）

3.3

假冒counterfeiting

未经授权模仿、复制或修改资产的行为。

3.4

剽窃plagiarism

不使用原设备制造商的品牌（3.1）而对产品进行不允许的复制，目的是为了模仿产品的特性。

3.5

保护计划protectionplan

处理资产或一组资产风险的协调措施集合。

1

GB/TXXXXX—XXXX/ISO22384:2020

4概述

组织宜遵循一般程序来准备保护计划。图1中给出的模型为这种一般程序提供了一个框架。第5章中

详细说明的个别步骤的设计，取决于各自的应用领域。

说明的步骤不一定必须要依次执行。这些步骤可以部分重叠，并以反复的方式执行。

5一般程序模型

5.1建立项目团队

组织宜将制定产品保护措施的工作作为一个项目来开展。

组织的项目小组宜选择包括来自产品生命周期所有阶段的内部相关者。项目小组可能包括以下领域

的人员：

—设计；

—开发；

—采购；

—制造/装配；

—信息技术（IT）；

—运营技术（OT）；

—IT安全/OT安全；

—后勤；

—销售；

—市场营销；

—仓储；

—法务；

—其他相关利益相关者。

任何外部支持宜：

—根据问题的敏感性，在需要知道的情况下参与；

—提供评估或评价威胁和风险的相关经验；

—支持制定有效措施。

组织宜：

—确定项目小组在组织中的位置（如市场营销、制造、设计、IT）；

—任命一个小组长，负责会议时间安排和预算；

—应用项目管理的最佳实践。

5.2确定要保护的资产

组织宜确定哪些资产需要保护。这些资产可包括：

—诀窍；

—产品；

—程序；

—许可模式；

—消费者的健康和安全；

—与利益相关者的关系；

—经营理念；

2