隨著信息與通信技術(shù)(ICT)的快速發(fā)展及深入應(yīng)用，各行業(yè)對ICT產(chǎn)品及服務(wù)的依賴加重。ICT產(chǎn)品服務(wù)全球化進(jìn)程推動形成了ICT供應(yīng)鏈全球化格局，基于ICT供應(yīng)鏈全球化及復(fù)雜性特征，ICT供應(yīng)鏈安全管控越來越難。

我國從政策法規(guī)標(biāo)準(zhǔn)等方面制定了一系列的要求，但從目前對國內(nèi)從事ICT產(chǎn)品制造等企業(yè)能力評估情況來看，在供應(yīng)鏈安全風(fēng)險管理方面還比較薄弱。

一、供應(yīng)鏈與ICT安全風(fēng)險的概念

ISO 28000：2007《供應(yīng)鏈安全管理體系規(guī)范》標(biāo)準(zhǔn)中將“供應(yīng)鏈”定義為從原材料采購開始直到通過各種運(yùn)輸模式將產(chǎn)品或服務(wù)傳遞給最終使用者的一系列過程和資源構(gòu)成的網(wǎng)絡(luò)。

標(biāo)準(zhǔn)提出需要組織對其供應(yīng)鏈安全管理過程的要素進(jìn)行識別和評估，并確認(rèn)是否采取了足夠的安全措施以及是否遵守法律法規(guī)和其他要求。

對利益相關(guān)方來說，一個完整且安全的供應(yīng)鏈管理體系，應(yīng)確保供應(yīng)鏈內(nèi)上下游不同服務(wù)提供商做事方法的一致性，并且應(yīng)全面進(jìn)行安全風(fēng)險識別和評價，以有效控制和降低供應(yīng)鏈存在的安全隱患和影響等。

美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)在2022年發(fā)布的SP 800-161r1《系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理實踐》報告的修訂版中指出，網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理(C-SCRM)是一個系統(tǒng)過程，用于管理整個供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險、威脅和漏洞，并制定供應(yīng)商及其所提供產(chǎn)品、服務(wù)和供應(yīng)鏈提出的適當(dāng)響應(yīng)策略。報告為在各個維度識別、管理和應(yīng)對供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險提供了實踐指導(dǎo)，對于提升網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理能力具有重要意義。

二、ICT供應(yīng)鏈視角下的安全風(fēng)險管理體系

目前，國際供應(yīng)鏈安全標(biāo)準(zhǔn)已漸成體系，而國內(nèi)供應(yīng)鏈安全要求大多分散在多個標(biāo)準(zhǔn)中。

GB/T 36637-2018作為我國第一個ICT供應(yīng)鏈安全國家標(biāo)準(zhǔn)，標(biāo)志著我國供應(yīng)鏈安全標(biāo)準(zhǔn)正在起步。該標(biāo)準(zhǔn)參考了包括ISO 28000系列、ISO/IEC 27000系列、NIST SP 800-161、GB/T 20984、GB/T 22080、GB/T 22081、GB/T 31509、GB/Z 24364等多份標(biāo)準(zhǔn)文獻(xiàn)，從ICT供應(yīng)鏈視角出發(fā)，形成安全風(fēng)險管理的指南，規(guī)定了ICT供應(yīng)鏈安全風(fēng)險管理過程和控制措施。ICT供應(yīng)鏈組織可以依據(jù)GB/T 36637-2018標(biāo)準(zhǔn)建立風(fēng)險管理體系和實施控制措施，結(jié)合相關(guān)標(biāo)準(zhǔn)來構(gòu)建安全風(fēng)險管理體系并實現(xiàn)安全風(fēng)險管控。

（一）GB/T 36637適用范圍和ICT供應(yīng)鏈定義

標(biāo)準(zhǔn)適用于重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供方和運(yùn)營者對ICT供應(yīng)鏈進(jìn)行安全風(fēng)險管理，也適用于指導(dǎo)ICT產(chǎn)品和服務(wù)的供方和需方加強(qiáng)供應(yīng)鏈安全管理，同時還可供第三方測評機(jī)構(gòu)對ICT供應(yīng)鏈進(jìn)行安全風(fēng)險評估時參考。

標(biāo)準(zhǔn)術(shù)語中將ICT供應(yīng)鏈定義為ICT產(chǎn)品和服務(wù)的供應(yīng)鏈，是指為滿足供應(yīng)關(guān)系，通過資源和過程將需方、供方相互鏈接的網(wǎng)鏈結(jié)構(gòu)，可用于將ICT的產(chǎn)品和服務(wù)提供給需方。在標(biāo)準(zhǔn)附錄A中對ICT供應(yīng)鏈結(jié)構(gòu)做了進(jìn)一步說明(如圖1)。

（二）基于GB/T 36637構(gòu)建ICT供應(yīng)鏈安全風(fēng)險管理體系

GB/T 36637-2018標(biāo)準(zhǔn)主要對風(fēng)險管理過程和實施控制措施情況進(jìn)行了規(guī)定，但要建立管理體系還應(yīng)引入管理體系通用的方法，首先建立管理機(jī)構(gòu)，然后定目標(biāo)、建過程、落實、監(jiān)督檢查并持續(xù)改進(jìn)有效性。

1.確定管理機(jī)構(gòu)及職責(zé)

在組織內(nèi)識別并確定ICT供應(yīng)鏈安全風(fēng)險管理的管理機(jī)構(gòu)及其職責(zé)，并配備相應(yīng)資源等。

2.明確ICT供應(yīng)鏈安全風(fēng)險管理重點目標(biāo)

ICT供應(yīng)鏈?zhǔn)且粋€全球分布的，具有供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全生命周期覆蓋性等多維特點的復(fù)雜系統(tǒng)。相比傳統(tǒng)供應(yīng)鏈，ICT供應(yīng)鏈面臨更多的安全風(fēng)險，宜加強(qiáng)風(fēng)險管理。其重點實現(xiàn)目標(biāo)包括完整性、保密性、可用性、可控性。

另外，建議組織結(jié)合自身實際情況，對于經(jīng)濟(jì)性、綠色供應(yīng)鏈、穩(wěn)定供應(yīng)鏈等做適當(dāng)考慮。

2.建立ICT供應(yīng)鏈安全風(fēng)險管理過程

ICT供應(yīng)鏈安全風(fēng)險管理過程由背景分析、風(fēng)險評估、風(fēng)險處置、風(fēng)險監(jiān)督和檢查、風(fēng)險溝通和記錄等5個步驟組成(見圖2)。組織宜按照GB/T 31722-2015的規(guī)定建立ICT供應(yīng)鏈風(fēng)險管理過程，也可將ICT供應(yīng)鏈安全風(fēng)險管理分散到對ICT供應(yīng)鏈生命周期各環(huán)節(jié)、ICT供應(yīng)鏈基礎(chǔ)設(shè)施、外部供應(yīng)商的風(fēng)險管理活動中。

供應(yīng)鏈安全風(fēng)險管理是指導(dǎo)和控制組織與供應(yīng)鏈安全風(fēng)險相關(guān)問題的協(xié)調(diào)活動。ICT供應(yīng)鏈安全風(fēng)險管理是組織整體風(fēng)險管理的組成部分，組織在做背景分析時宜結(jié)合實際情況建立ICT供應(yīng)鏈安全風(fēng)險管理的背景，包括基本準(zhǔn)則、范圍邊界和風(fēng)險約束等。

組織在進(jìn)行背景分析后可開展風(fēng)險評估，評估活動包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價。風(fēng)險評估可多次迭代直至結(jié)果滿足要求，建議組織宜至少每年進(jìn)行一次供應(yīng)鏈安全風(fēng)險評估工作，并保留有關(guān)安全風(fēng)險評估過程的文件化信息。

供應(yīng)鏈安全風(fēng)險是供應(yīng)鏈安全威脅利用供應(yīng)鏈管理中存在的脆弱性導(dǎo)致供應(yīng)鏈安全事件的可能性，及其由此對組織造成的影響?；诖?，風(fēng)險識別包括資產(chǎn)識別、威脅識別和脆弱性識別。

資產(chǎn)識別指識別ITC供應(yīng)鏈的關(guān)鍵資產(chǎn)。此類資產(chǎn)對組織的業(yè)務(wù)功能有直接影響，一旦被禁用或受損，可能導(dǎo)致組織的產(chǎn)品和服務(wù)失效或質(zhì)量下降。

威脅識別包括威脅來源和威脅類型兩個方面的識別。其中威脅來源從環(huán)境因素、供應(yīng)鏈攻擊、人為錯誤等3個維度識別，威脅類型從惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露、違規(guī)操作、其他威脅等6個維度識別。

脆弱性是資產(chǎn)本身的特性，僅在被威脅利用時會產(chǎn)生危害。因此，脆弱性識別應(yīng)圍繞ICT供應(yīng)鏈關(guān)鍵資產(chǎn)展開，識別可能被威脅利用的脆弱性，例如能使攻擊者獲得供應(yīng)鏈敏感信息、植入惡意組件、出發(fā)系統(tǒng)運(yùn)行故障、組件脆弱性等。ICT供應(yīng)鏈脆弱性包括產(chǎn)品和服務(wù)在其生命周期內(nèi)的脆弱性，也包括ICT供應(yīng)鏈基礎(chǔ)設(shè)施的脆弱性。

供應(yīng)鏈生命周期的脆弱性包括了開發(fā)階段脆弱性、供應(yīng)階段脆弱性和運(yùn)維階段脆弱性。而供應(yīng)鏈基礎(chǔ)設(shè)施的脆弱性包括了供應(yīng)鏈管理脆弱性、供應(yīng)鏈信息系統(tǒng)脆弱性、ICT上下游脆弱性、供應(yīng)鏈物理安全脆弱性。識別脆弱性來源非常重要。缺乏供應(yīng)鏈安全管理頂層設(shè)計是涉及整個全生命周期的脆弱性來源，包括缺乏供應(yīng)鏈安全管理制度和流程，未明確供應(yīng)商、外包商、制造商、經(jīng)銷商、員工等供應(yīng)鏈合作方、參與者等的安全要求，未建立數(shù)據(jù)安全管理制度和流程，防壟斷、可替代能力不足等。因此，組織要充分做好供應(yīng)鏈安全管理頂層設(shè)計。

針對ICT供應(yīng)鏈內(nèi)部脆弱性和外部威脅的識別，要結(jié)合供應(yīng)鏈安全的特點，從全生命周期的角度厘清來源，結(jié)合供應(yīng)鏈生命周期各個階段的外部安全威脅和內(nèi)部脆弱性識別。

接下來，從可能性、后果、風(fēng)險估算等幾方面分析風(fēng)險，然后根據(jù)風(fēng)險分析估算結(jié)果、評價準(zhǔn)則和接受準(zhǔn)則比較等進(jìn)行風(fēng)險評價，再根據(jù)評估結(jié)果選擇風(fēng)險處置策略。而在風(fēng)險管理整個過程的中，都要設(shè)置監(jiān)督和檢查點并及時溝通和記錄相關(guān)信息。

3.實施控制措施

組織可以根據(jù)自身特點(如組織類型、戰(zhàn)略、業(yè)務(wù)目標(biāo)、客戶需求、組織架構(gòu)和流程、安全策略和安全風(fēng)險承受能力等)和識別的安全風(fēng)險，選擇、定制和實施供應(yīng)鏈安全措施，包括技術(shù)安全措施和管理安全措施。

其中，技術(shù)安全措施包括物理與環(huán)境安全、系統(tǒng)與通信安全、訪問控制、標(biāo)識與鑒別、供應(yīng)鏈完整性保護(hù)、可追溯性等。管理安全措施包括制度和人員管理、供應(yīng)鏈生命周期管理、采購?fù)獍c供應(yīng)商管理等。

4.持續(xù)管理和迭代

通常情況下，安全風(fēng)險管理也需要多次迭代直至結(jié)果滿足要求。建議組織將ICT供應(yīng)鏈安全風(fēng)險管理工作流程納入組織常設(shè)的管理架構(gòu)及工作流程中，以利于做到持續(xù)管理和迭代，并保留有關(guān)安全風(fēng)險管理過程的相關(guān)文件和記錄等。

三、與組織已有管理體系融合的思考

ICT供應(yīng)鏈安全風(fēng)險管理是組織整體風(fēng)險管理的組成部分，組織在建立ICT供應(yīng)鏈安全風(fēng)險管理體系之初，應(yīng)充分考慮組織已有管理體系建設(shè)情況，把供應(yīng)鏈安全管理與企業(yè)已有管理體系相融合，首先是管理體系架構(gòu)的融合和協(xié)調(diào)，其次是運(yùn)行實施過程的融合和協(xié)調(diào)。只有堅持體系化運(yùn)行，進(jìn)行全面的供應(yīng)鏈安全風(fēng)險識別和系統(tǒng)的供應(yīng)鏈安全評估，積極應(yīng)對供應(yīng)鏈安全風(fēng)險和挑戰(zhàn)，才有可能持續(xù)提升供應(yīng)鏈韌性和安全水平。

組織在與已有管理體系融合的過程中，也可考慮借鑒NIST SP 800-161 r1《系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理實踐》報告中提出的由三層管理框架整合企業(yè)所有安全風(fēng)險管理，即由企業(yè)層面、業(yè)務(wù)層面和操作層面無縫配合和有效溝通，共同解決安全風(fēng)險(如圖3示)。

首先是在企業(yè)層面，制定企業(yè)網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理頂層戰(zhàn)略、實施計劃，明確治理結(jié)構(gòu)和操作模式，為如何管理風(fēng)險制定原則，并指導(dǎo)下一層級執(zhí)行風(fēng)險管理，其參與者通常為企業(yè)的高層領(lǐng)導(dǎo)。

其次是在業(yè)務(wù)層面，在企業(yè)的頂層設(shè)計下，根據(jù)業(yè)務(wù)具體情況制定業(yè)務(wù)層級的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理(C-SCRM)戰(zhàn)略、政策和實施計劃，減少新項目的初始漏洞，審查評估業(yè)務(wù)面臨的威脅，管理業(yè)務(wù)層級的風(fēng)險，向上一層級報告相關(guān)情況，并指導(dǎo)下一層級執(zhí)行風(fēng)險管理，其參與者通常為負(fù)責(zé)項目規(guī)劃和管理的中層領(lǐng)導(dǎo)。

最后是在操作層面，根據(jù)業(yè)務(wù)層級制定的戰(zhàn)略、計劃，實施C-SCRM計劃，確保業(yè)務(wù)、功能和技術(shù)滿足第1層、第2層級制定的要求，其參與者通常為系統(tǒng)架構(gòu)師、開發(fā)人員等具體操作人員。

同時，可考慮運(yùn)用多種信息化管理手段，建立一套敏捷、高效的供應(yīng)鏈安全保障體系，并研究建設(shè)一整套科學(xué)的供應(yīng)鏈安全風(fēng)險量化指標(biāo)體系，以全面提升企業(yè)供應(yīng)鏈安全保障數(shù)字化管理水平。

結(jié)語

隨著大國博弈日益激烈，先進(jìn)技術(shù)產(chǎn)業(yè)競爭態(tài)勢加劇，供應(yīng)鏈安全已上升至國家安全戰(zhàn)略，有效規(guī)范和保護(hù)ICT供應(yīng)鏈安全已成為網(wǎng)絡(luò)相關(guān)安全的重中之重。本文在分析供應(yīng)鏈與ICT安全風(fēng)險的關(guān)系的基礎(chǔ)上，提出基于GB/T 36637的ICT供應(yīng)鏈視角的安全風(fēng)險管理體系構(gòu)建以及與組織現(xiàn)有管理體系融合的思考，為ICT供應(yīng)鏈企業(yè)更好地開展ICT供應(yīng)鏈安全風(fēng)險管理提供了思路，同時也為深入研究ICT供應(yīng)鏈安全管理及評估技術(shù)提供了依據(jù)。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/news/202410/xwif_52650.html