供应链是全球商业中的一个脆弱点:它使技术开发人员和供应商能够
创造和交付创新产品,但可能会让企业、它们的成品,以及最终它们的消费者受到网络攻击。的新更新美国国家标准和技术研究所的(NIST)的基础网络安全供应链风险管理(C-SCRM)指南旨在帮助组织在获取和使用技术产品和服务时保护自己。
修订后的出版物正式标题为系统和组织的网络安全供应链风险管理实践(NIST特别出版物800-161修订1)提供了在组织的所有级别的供应链中识别、评估和应对网络安全风险的指导。它是NIST对美国行政命令14028:改善国家网络安全的回应的一部分,特别是第4(c)和(d)条,这涉及提高软件供应链的安全性。
该出版物经过多年的开发过程发布,为组织提供了关键的实践,以提高他们在供应链内部和供应链之间管理网络安全风险的能力。它鼓励组织不仅考虑他们正在考虑使用的成品的漏洞,而且考虑其组件(可能是在别处开发的)的漏洞,以及这些组件到达目的地的过程。
现代产品和服务依赖于它们的供应链,供应链连接了制造商、软件开发人员和其他服务提供者的全球网络。尽管供应链促进了全球经济,但由于组成成品的零部件和软件来源众多,供应链也将企业和消费者置于风险之中:一个设备可能在一个国家设计,在另一个国家制造,使用来自世界各地的多个零部件,而这些零部件本身又由来自不同制造商的零部件组装而成。最终的产品不仅可能包含恶意软件或容易受到网络攻击,供应链本身的脆弱性也可能影响公司的底线。
订正出版物的主要读者是产品、软件和服务的购买者和最终用户。该指南帮助组织将网络安全供应链风险考虑因素和需求构建到其采订过程中,并强调了风险监控的重要性。由于网络安全风险可能出现在生命周期的任何点或供应链的任何环节,该指南现在考虑了潜在的漏洞,例如产品内的代码来源或销售该产品的零售商。
在提供具体指导(附录A中列出的网络安全控制)之前,该出版物向其目标受众中的不同群体提供帮助,包括网络安全专家和风险管理人员,系统工程师和采购官员。
部分由于该主题的复杂性,作者正在计划一个快速入门指南,以帮助那些可能刚刚开始他们组织的C-SCRM工作的读者。他们还计划将主要出版物作为用户友好的网页提供。
该出版物可在NIST网站上找到。