供應鏈是全球貿易中脆弱的地方:它使技術開發人員和供應商能夠
創建和交付創新的產品,但可以使企業,完成的商品以及最終對網絡攻擊開放的消費者。對美國國家標準研究所(NIST)基礎網絡安全供應鏈風險管理(C-SCRM)指南旨在幫助組織在獲取和使用技術產品和服務時保護自己。
修訂的出版物正式標題為“係統和組織的網絡安全供應鏈風險管理實踐”(NIST特別出版物800-161修訂1),提供有關組織各個級別的供應鏈中識別,評估和應對網絡安全風險的指南。它構成了NIST對美國行政命令14028的回應的一部分:改善國家的網絡安全,特別是第4(c)和(d)節,這涉及增強軟件供應鏈的安全性。
該出版物在經過多年開發過程之後發布,為組織提供了關鍵實踐,以便他們發展能夠管理供應鏈內和跨越供應鏈的網絡安全風險的能力。它鼓勵組織不僅考慮他們正在考慮使用的成品的漏洞,而且還考慮其組件(可能是在其他地方開發的)以及這些組件到達目的地的旅程。
現代產品和服務取決於其供應鏈,該供應鏈連接了全球製造商,軟件開發人員和其他服務提供商網絡。盡管它們使全球經濟能夠使公司和消費者置於危險之中,但由於多種構成成品的組件和軟件來源:一種設備可能是在一個國家 /地區設計的,並使用各種各種組件的多個組件在另一個國家設計了一個設備本身是由不同製造商組成的部分部分。最終的產品不僅可能包含惡意軟件或容易受到網絡攻擊的影響,而且供應鏈本身的脆弱性會影響公司的底線。
修訂後的出版物的主要受眾是產品,軟件和服務的最終用戶。該指南可幫助組織在其獲取過程中建立網絡安全供應鏈風險注意事項和要求,並突出監控風險的重要性。由於網絡安全風險在生命周期或供應鏈中的任何鏈接中都可能出現,因此該指南現在考慮了潛在的漏洞,例如產品中的代碼來源,例如,攜帶它的零售商。
在提供特定的指導(稱為網絡安全控件)之前,該指導在附錄A中列出 - 出版物為其預期受眾的各個群體提供幫助,從網絡安全專家和風險管理人員到係統工程師和采購官員,其範圍都提供。
在某種程度上,由於主題的複雜性,作者正在計劃一份快速啟動指南,以幫助可能剛剛開始組織C-SCRM努力的讀者。他們還計劃將主要出版物作為用戶友好的網頁提供。
該出版物可在NIST網站上找到。