近日,美国国度规范与技术钻研所(NIST)再次降级了《网络安保供应链危险治理》(C-SCRM)指南,提供了与供应链攻打相关的趋向和最佳通常,指点企业有效治理软件供应链危险,以及在遭受供应链攻打时该如何启动应急照应。
网络供应链危险治理(C-SCRM)是识别、评价和减轻ICT产品和服务供应链调配和互联性相关危险的环节。C-SCRM笼罩了ICT的整个生命周期:包含配件、软件和消息保证,以及传统的供应链治理和供应链安保通常。
目前,NIST颁布了“系统和组织网络安保供应链危险治理通常”,以此照应“改善国度网络安保”的美国第14028号行政命令。
系统和组织网络安保供应链危险治理通常明白指出,本刊物的目的是为企业提供无关如何识别、评价、选用和实施危险治理流程以及减轻企业控制措施的指点,以协助治理整个供应链的网络安保危险。”
订正后的指南关键针对产品、软件和服务的收买方和最终用户,并为不同的受众提供倡导:网络安保专家、担任企业危险治理人员、洽购人员、消息安保/网络安保/隐衷、系统开发/工程/实施的指导和人员等。
NIST 的JonBoyens示意,治理供应链的网络安保是一项不时存在的需求,当供应链遭到敲诈软件攻打时,制作商或许因不足关键组件而停摆,连锁商店也或许只是由于保养其空调系统的公司得以访问其共享资料而迸发资料外泄事情,该指南的关键读者群将是产品、软件及服务的洽购商与终端用户,倘若政府机关或组织尚未着手治理供应链的危险疑问,那么这就是一个从零到有的完整工具。
NIST的专家们进一步强调了现代产品和服务供应链安保的关键性。毕竟,一种设备或许是在一个国度/地域设计的,但是它的组件或许在世界多个国度/地域制作,只需消费这些组件的公司其中一个出现安保事情,那么就有或许会对整个供应链的产品和服务发生严重影响,大大参与了世界组织的攻打面和受影响的连锁性。
例如制作商或许会由于其中一个供应商遭到敲诈软件攻打,而造成关键制作组件的供应终止,或许批发连锁店或许会由于保养其空调系统的公司可以访问商店的数据共享网站而遭逢数据暴露事情。