近日，美國國家標準與技術(shù)研究所(NIST)再次更新了《網(wǎng)絡(luò)安全供應(yīng)鏈風險管理》(C-SCRM)指南，提供了與供應(yīng)鏈攻擊相關(guān)的趨勢和最佳實踐，指導(dǎo)企業(yè)有效管理軟件供應(yīng)鏈風險，以及在遭受供應(yīng)鏈攻擊時該如何進行應(yīng)急響應(yīng)。

創(chuàng)新互聯(lián)公司主營遵義網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,APP應(yīng)用開發(fā),遵義h5微信平臺小程序開發(fā)搭建,遵義網(wǎng)站營銷推廣歡迎遵義等地區(qū)企業(yè)咨詢

網(wǎng)絡(luò)供應(yīng)鏈風險管理(C-SCRM)是識別、評估和減輕ICT產(chǎn)品和服務(wù)供應(yīng)鏈分配和互聯(lián)性相關(guān)風險的過程。C-SCRM覆蓋了ICT的整個生命周期：包括硬件、軟件和信息保障，以及傳統(tǒng)的供應(yīng)鏈管理和供應(yīng)鏈安全實踐。

目前，NIST發(fā)布了“系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風險管理實踐”，以此響應(yīng)“改善國家網(wǎng)絡(luò)安全”的美國第14028號行政命令。

系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風險管理實踐明確指出，本刊物的目的是為企業(yè)提供有關(guān)如何識別、評估、選擇和實施風險管理流程以及減輕企業(yè)控制措施的指導(dǎo)，以幫助管理整個供應(yīng)鏈的網(wǎng)絡(luò)安全風險。”

修訂后的指南主要針對產(chǎn)品、軟件和服務(wù)的收購方和最終用戶，并為不同的受眾提供建議：網(wǎng)絡(luò)安全專家、負責企業(yè)風險管理人員、采購人員、信息安全/網(wǎng)絡(luò)安全/隱私、系統(tǒng)開發(fā)/工程/實施的領(lǐng)導(dǎo)和人員等。

NIST 的Jon Boyens表示，管理供應(yīng)鏈的網(wǎng)絡(luò)安全是一項一直存在的需求，當供應(yīng)鏈遭到勒索軟件攻擊時，制造商可能因缺乏重要組件而停擺，連鎖商店也可能只是因為維護其空調(diào)系統(tǒng)的公司得以訪問其共享資料而爆發(fā)資料外泄事件，該指南的主要讀者群將是產(chǎn)品、軟件及服務(wù)的采購商與終端用戶，倘若政府機關(guān)或組織尚未著手管理供應(yīng)鏈的風險問題，那么這就是一個從零到有的完整工具。

NIST的專家們進一步強調(diào)了現(xiàn)代產(chǎn)品和服務(wù)供應(yīng)鏈安全的重要性。畢竟，一種設(shè)備可能是在一個國家/地區(qū)設(shè)計的，但是它的組件可能在全球多個國家/地區(qū)制造，只要生產(chǎn)這些組件的公司其中一個出現(xiàn)安全事件，那么就有可能會對整個供應(yīng)鏈的產(chǎn)品和服務(wù)產(chǎn)生重大影響，大大增加了全球組織的攻擊面和受影響的連鎖性。

例如制造商可能會因為其中一個供應(yīng)商受到勒索軟件攻擊，而導(dǎo)致關(guān)鍵制造組件的供應(yīng)中斷，或者零售連鎖店可能會因為維護其空調(diào)系統(tǒng)的公司可以訪問商店的數(shù)據(jù)共享網(wǎng)站而遭遇數(shù)據(jù)泄露事件。

參考來源：https://securityaffairs.co/wordpress/131066/laws-and-regulations/nist-supply-chain-guidance.html

網(wǎng)頁名稱：注意，NIST更新了網(wǎng)絡(luò)安全供應(yīng)鏈風險指南
網(wǎng)站網(wǎng)址：http://uogjgqi.cn/article/dpejphc.html