隨著信息與通信技術(shù)(ICT)的快速發(fā)展及深入應(yīng)用，各行業(yè)對(duì)ICT產(chǎn)品及服務(wù)的依賴加重。ICT產(chǎn)品服務(wù)全球化進(jìn)程推動(dòng)形成了ICT供應(yīng)鏈全球化格局，基于ICT供應(yīng)鏈全球化及復(fù)雜性特征，ICT供應(yīng)鏈安全管控越來(lái)越難。

我國(guó)從政策法規(guī)標(biāo)準(zhǔn)等方面制定了一系列的要求，但從目前對(duì)國(guó)內(nèi)從事ICT產(chǎn)品制造等企業(yè)能力評(píng)估情況來(lái)看，在供應(yīng)鏈安全風(fēng)險(xiǎn)管理方面還比較薄弱。

一、供應(yīng)鏈與ICT安全風(fēng)險(xiǎn)的概念

ISO 28000：2007《供應(yīng)鏈安全管理體系規(guī)范》標(biāo)準(zhǔn)中將“供應(yīng)鏈”定義為從原材料采購(gòu)開(kāi)始直到通過(guò)各種運(yùn)輸模式將產(chǎn)品或服務(wù)傳遞給最終使用者的一系列過(guò)程和資源構(gòu)成的網(wǎng)絡(luò)。

標(biāo)準(zhǔn)提出需要組織對(duì)其供應(yīng)鏈安全管理過(guò)程的要素進(jìn)行識(shí)別和評(píng)估，并確認(rèn)是否采取了足夠的安全措施以及是否遵守法律法規(guī)和其他要求。

對(duì)利益相關(guān)方來(lái)說(shuō)，一個(gè)完整且安全的供應(yīng)鏈管理體系，應(yīng)確保供應(yīng)鏈內(nèi)上下游不同服務(wù)提供商做事方法的一致性，并且應(yīng)全面進(jìn)行安全風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)，以有效控制和降低供應(yīng)鏈存在的安全隱患和影響等。

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)在2022年發(fā)布的SP 800-161r1《系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》報(bào)告的修訂版中指出，網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理(C-SCRM)是一個(gè)系統(tǒng)過(guò)程，用于管理整個(gè)供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、威脅和漏洞，并制定供應(yīng)商及其所提供產(chǎn)品、服務(wù)和供應(yīng)鏈提出的適當(dāng)響應(yīng)策略。報(bào)告為在各個(gè)維度識(shí)別、管理和應(yīng)對(duì)供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供了實(shí)踐指導(dǎo)，對(duì)于提升網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理能力具有重要意義。

二、ICT供應(yīng)鏈視角下的安全風(fēng)險(xiǎn)管理體系

目前，國(guó)際供應(yīng)鏈安全標(biāo)準(zhǔn)已漸成體系，而國(guó)內(nèi)供應(yīng)鏈安全要求大多分散在多個(gè)標(biāo)準(zhǔn)中。

GB/T 36637-2018作為我國(guó)第一個(gè)ICT供應(yīng)鏈安全國(guó)家標(biāo)準(zhǔn)，標(biāo)志著我國(guó)供應(yīng)鏈安全標(biāo)準(zhǔn)正在起步。該標(biāo)準(zhǔn)參考了包括ISO 28000系列、ISO/IEC 27000系列、NIST SP 800-161、GB/T 20984、GB/T 22080、GB/T 22081、GB/T 31509、GB/Z 24364等多份標(biāo)準(zhǔn)文獻(xiàn)，從ICT供應(yīng)鏈視角出發(fā)，形成安全風(fēng)險(xiǎn)管理的指南，規(guī)定了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程和控制措施。ICT供應(yīng)鏈組織可以依據(jù)GB/T 36637-2018標(biāo)準(zhǔn)建立風(fēng)險(xiǎn)管理體系和實(shí)施控制措施，結(jié)合相關(guān)標(biāo)準(zhǔn)來(lái)構(gòu)建安全風(fēng)險(xiǎn)管理體系并實(shí)現(xiàn)安全風(fēng)險(xiǎn)管控。

（一）GB/T 36637適用范圍和ICT供應(yīng)鏈定義

標(biāo)準(zhǔn)適用于重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供方和運(yùn)營(yíng)者對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)管理，也適用于指導(dǎo)ICT產(chǎn)品和服務(wù)的供方和需方加強(qiáng)供應(yīng)鏈安全管理，同時(shí)還可供第三方測(cè)評(píng)機(jī)構(gòu)對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)參考。

標(biāo)準(zhǔn)術(shù)語(yǔ)中將ICT供應(yīng)鏈定義為ICT產(chǎn)品和服務(wù)的供應(yīng)鏈，是指為滿足供應(yīng)關(guān)系，通過(guò)資源和過(guò)程將需方、供方相互鏈接的網(wǎng)鏈結(jié)構(gòu)，可用于將ICT的產(chǎn)品和服務(wù)提供給需方。在標(biāo)準(zhǔn)附錄A中對(duì)ICT供應(yīng)鏈結(jié)構(gòu)做了進(jìn)一步說(shuō)明(如圖1)。

（二）基于GB/T 36637構(gòu)建ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理體系

GB/T 36637-2018標(biāo)準(zhǔn)主要對(duì)風(fēng)險(xiǎn)管理過(guò)程和實(shí)施控制措施情況進(jìn)行了規(guī)定，但要建立管理體系還應(yīng)引入管理體系通用的方法，首先建立管理機(jī)構(gòu)，然后定目標(biāo)、建過(guò)程、落實(shí)、監(jiān)督檢查并持續(xù)改進(jìn)有效性。

1.確定管理機(jī)構(gòu)及職責(zé)

在組織內(nèi)識(shí)別并確定ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的管理機(jī)構(gòu)及其職責(zé)，并配備相應(yīng)資源等。

2.明確ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理重點(diǎn)目標(biāo)

ICT供應(yīng)鏈?zhǔn)且粋€(gè)全球分布的，具有供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全生命周期覆蓋性等多維特點(diǎn)的復(fù)雜系統(tǒng)。相比傳統(tǒng)供應(yīng)鏈，ICT供應(yīng)鏈面臨更多的安全風(fēng)險(xiǎn)，宜加強(qiáng)風(fēng)險(xiǎn)管理。其重點(diǎn)實(shí)現(xiàn)目標(biāo)包括完整性、保密性、可用性、可控性。

另外，建議組織結(jié)合自身實(shí)際情況，對(duì)于經(jīng)濟(jì)性、綠色供應(yīng)鏈、穩(wěn)定供應(yīng)鏈等做適當(dāng)考慮。

2.建立ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程

ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程由背景分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)督和檢查、風(fēng)險(xiǎn)溝通和記錄等5個(gè)步驟組成(見(jiàn)圖2)。組織宜按照GB/T 31722-2015的規(guī)定建立ICT供應(yīng)鏈風(fēng)險(xiǎn)管理過(guò)程，也可將ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理分散到對(duì)ICT供應(yīng)鏈生命周期各環(huán)節(jié)、ICT供應(yīng)鏈基礎(chǔ)設(shè)施、外部供應(yīng)商的風(fēng)險(xiǎn)管理活動(dòng)中。

供應(yīng)鏈安全風(fēng)險(xiǎn)管理是指導(dǎo)和控制組織與供應(yīng)鏈安全風(fēng)險(xiǎn)相關(guān)問(wèn)題的協(xié)調(diào)活動(dòng)。ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理是組織整體風(fēng)險(xiǎn)管理的組成部分，組織在做背景分析時(shí)宜結(jié)合實(shí)際情況建立ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的背景，包括基本準(zhǔn)則、范圍邊界和風(fēng)險(xiǎn)約束等。

組織在進(jìn)行背景分析后可開(kāi)展風(fēng)險(xiǎn)評(píng)估，評(píng)估活動(dòng)包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)。風(fēng)險(xiǎn)評(píng)估可多次迭代直至結(jié)果滿足要求，建議組織宜至少每年進(jìn)行一次供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估工作，并保留有關(guān)安全風(fēng)險(xiǎn)評(píng)估過(guò)程的文件化信息。

供應(yīng)鏈安全風(fēng)險(xiǎn)是供應(yīng)鏈安全威脅利用供應(yīng)鏈管理中存在的脆弱性導(dǎo)致供應(yīng)鏈安全事件的可能性，及其由此對(duì)組織造成的影響?；诖耍L(fēng)險(xiǎn)識(shí)別包括資產(chǎn)識(shí)別、威脅識(shí)別和脆弱性識(shí)別。

資產(chǎn)識(shí)別指識(shí)別ITC供應(yīng)鏈的關(guān)鍵資產(chǎn)。此類資產(chǎn)對(duì)組織的業(yè)務(wù)功能有直接影響，一旦被禁用或受損，可能導(dǎo)致組織的產(chǎn)品和服務(wù)失效或質(zhì)量下降。

威脅識(shí)別包括威脅來(lái)源和威脅類型兩個(gè)方面的識(shí)別。其中威脅來(lái)源從環(huán)境因素、供應(yīng)鏈攻擊、人為錯(cuò)誤等3個(gè)維度識(shí)別，威脅類型從惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露、違規(guī)操作、其他威脅等6個(gè)維度識(shí)別。

脆弱性是資產(chǎn)本身的特性，僅在被威脅利用時(shí)會(huì)產(chǎn)生危害。因此，脆弱性識(shí)別應(yīng)圍繞ICT供應(yīng)鏈關(guān)鍵資產(chǎn)展開(kāi)，識(shí)別可能被威脅利用的脆弱性，例如能使攻擊者獲得供應(yīng)鏈敏感信息、植入惡意組件、出發(fā)系統(tǒng)運(yùn)行故障、組件脆弱性等。ICT供應(yīng)鏈脆弱性包括產(chǎn)品和服務(wù)在其生命周期內(nèi)的脆弱性，也包括ICT供應(yīng)鏈基礎(chǔ)設(shè)施的脆弱性。

供應(yīng)鏈生命周期的脆弱性包括了開(kāi)發(fā)階段脆弱性、供應(yīng)階段脆弱性和運(yùn)維階段脆弱性。而供應(yīng)鏈基礎(chǔ)設(shè)施的脆弱性包括了供應(yīng)鏈管理脆弱性、供應(yīng)鏈信息系統(tǒng)脆弱性、ICT上下游脆弱性、供應(yīng)鏈物理安全脆弱性。識(shí)別脆弱性來(lái)源非常重要。缺乏供應(yīng)鏈安全管理頂層設(shè)計(jì)是涉及整個(gè)全生命周期的脆弱性來(lái)源，包括缺乏供應(yīng)鏈安全管理制度和流程，未明確供應(yīng)商、外包商、制造商、經(jīng)銷商、員工等供應(yīng)鏈合作方、參與者等的安全要求，未建立數(shù)據(jù)安全管理制度和流程，防壟斷、可替代能力不足等。因此，組織要充分做好供應(yīng)鏈安全管理頂層設(shè)計(jì)。

針對(duì)ICT供應(yīng)鏈內(nèi)部脆弱性和外部威脅的識(shí)別，要結(jié)合供應(yīng)鏈安全的特點(diǎn)，從全生命周期的角度厘清來(lái)源，結(jié)合供應(yīng)鏈生命周期各個(gè)階段的外部安全威脅和內(nèi)部脆弱性識(shí)別。

接下來(lái)，從可能性、后果、風(fēng)險(xiǎn)估算等幾方面分析風(fēng)險(xiǎn)，然后根據(jù)風(fēng)險(xiǎn)分析估算結(jié)果、評(píng)價(jià)準(zhǔn)則和接受準(zhǔn)則比較等進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)，再根據(jù)評(píng)估結(jié)果選擇風(fēng)險(xiǎn)處置策略。而在風(fēng)險(xiǎn)管理整個(gè)過(guò)程的中，都要設(shè)置監(jiān)督和檢查點(diǎn)并及時(shí)溝通和記錄相關(guān)信息。

3.實(shí)施控制措施

組織可以根據(jù)自身特點(diǎn)(如組織類型、戰(zhàn)略、業(yè)務(wù)目標(biāo)、客戶需求、組織架構(gòu)和流程、安全策略和安全風(fēng)險(xiǎn)承受能力等)和識(shí)別的安全風(fēng)險(xiǎn)，選擇、定制和實(shí)施供應(yīng)鏈安全措施，包括技術(shù)安全措施和管理安全措施。

其中，技術(shù)安全措施包括物理與環(huán)境安全、系統(tǒng)與通信安全、訪問(wèn)控制、標(biāo)識(shí)與鑒別、供應(yīng)鏈完整性保護(hù)、可追溯性等。管理安全措施包括制度和人員管理、供應(yīng)鏈生命周期管理、采購(gòu)?fù)獍c供應(yīng)商管理等。

4.持續(xù)管理和迭代

通常情況下，安全風(fēng)險(xiǎn)管理也需要多次迭代直至結(jié)果滿足要求。建議組織將ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理工作流程納入組織常設(shè)的管理架構(gòu)及工作流程中，以利于做到持續(xù)管理和迭代，并保留有關(guān)安全風(fēng)險(xiǎn)管理過(guò)程的相關(guān)文件和記錄等。

三、與組織已有管理體系融合的思考

ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理是組織整體風(fēng)險(xiǎn)管理的組成部分，組織在建立ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理體系之初，應(yīng)充分考慮組織已有管理體系建設(shè)情況，把供應(yīng)鏈安全管理與企業(yè)已有管理體系相融合，首先是管理體系架構(gòu)的融合和協(xié)調(diào)，其次是運(yùn)行實(shí)施過(guò)程的融合和協(xié)調(diào)。只有堅(jiān)持體系化運(yùn)行，進(jìn)行全面的供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別和系統(tǒng)的供應(yīng)鏈安全評(píng)估，積極應(yīng)對(duì)供應(yīng)鏈安全風(fēng)險(xiǎn)和挑戰(zhàn)，才有可能持續(xù)提升供應(yīng)鏈韌性和安全水平。

組織在與已有管理體系融合的過(guò)程中，也可考慮借鑒NIST SP 800-161 r1《系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》報(bào)告中提出的由三層管理框架整合企業(yè)所有安全風(fēng)險(xiǎn)管理，即由企業(yè)層面、業(yè)務(wù)層面和操作層面無(wú)縫配合和有效溝通，共同解決安全風(fēng)險(xiǎn)(如圖3示)。

首先是在企業(yè)層面，制定企業(yè)網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理頂層戰(zhàn)略、實(shí)施計(jì)劃，明確治理結(jié)構(gòu)和操作模式，為如何管理風(fēng)險(xiǎn)制定原則，并指導(dǎo)下一層級(jí)執(zhí)行風(fēng)險(xiǎn)管理，其參與者通常為企業(yè)的高層領(lǐng)導(dǎo)。

其次是在業(yè)務(wù)層面，在企業(yè)的頂層設(shè)計(jì)下，根據(jù)業(yè)務(wù)具體情況制定業(yè)務(wù)層級(jí)的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理(C-SCRM)戰(zhàn)略、政策和實(shí)施計(jì)劃，減少新項(xiàng)目的初始漏洞，審查評(píng)估業(yè)務(wù)面臨的威脅，管理業(yè)務(wù)層級(jí)的風(fēng)險(xiǎn)，向上一層級(jí)報(bào)告相關(guān)情況，并指導(dǎo)下一層級(jí)執(zhí)行風(fēng)險(xiǎn)管理，其參與者通常為負(fù)責(zé)項(xiàng)目規(guī)劃和管理的中層領(lǐng)導(dǎo)。

最后是在操作層面，根據(jù)業(yè)務(wù)層級(jí)制定的戰(zhàn)略、計(jì)劃，實(shí)施C-SCRM計(jì)劃，確保業(yè)務(wù)、功能和技術(shù)滿足第1層、第2層級(jí)制定的要求，其參與者通常為系統(tǒng)架構(gòu)師、開(kāi)發(fā)人員等具體操作人員。

同時(shí)，可考慮運(yùn)用多種信息化管理手段，建立一套敏捷、高效的供應(yīng)鏈安全保障體系，并研究建設(shè)一整套科學(xué)的供應(yīng)鏈安全風(fēng)險(xiǎn)量化指標(biāo)體系，以全面提升企業(yè)供應(yīng)鏈安全保障數(shù)字化管理水平。

結(jié)語(yǔ)

隨著大國(guó)博弈日益激烈，先進(jìn)技術(shù)產(chǎn)業(yè)競(jìng)爭(zhēng)態(tài)勢(shì)加劇，供應(yīng)鏈安全已上升至國(guó)家安全戰(zhàn)略，有效規(guī)范和保護(hù)ICT供應(yīng)鏈安全已成為網(wǎng)絡(luò)相關(guān)安全的重中之重。本文在分析供應(yīng)鏈與ICT安全風(fēng)險(xiǎn)的關(guān)系的基礎(chǔ)上，提出基于GB/T 36637的ICT供應(yīng)鏈視角的安全風(fēng)險(xiǎn)管理體系構(gòu)建以及與組織現(xiàn)有管理體系融合的思考，為ICT供應(yīng)鏈企業(yè)更好地開(kāi)展ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理提供了思路，同時(shí)也為深入研究ICT供應(yīng)鏈安全管理及評(píng)估技術(shù)提供了依據(jù)。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：中國(guó)政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://m.1cjaei.cn/news/202410/xwif_52650.html