美國國家標準局更新《網路安全供應鏈風險管理》指南

图片alt

美國國家標準暨技術研究院(NIST)周四(5/5)更新了長達326頁的《網路安全供應鏈風險管理》(Cybersecurity Supply Chain Risk Management,C-SCRM)指南,以協助那些採購與使用其它技術產品及服務的組織來保護其自身的安全。

該指南詳述了供應鏈可能產生的風險,企業與供應鏈之間的關系,在採購或操作第三方技術時如何確安全全,以及如何將C-SCRM集成到企業風險管理中,還能協助企業識別、評估與應對供應鏈所帶來的網路風險。

NIST指出,現代化的產品與服務多半必須依賴連接了全球製造商、軟體與服務供應商的供應鏈,由於供應鏈的來源眾多,使得它不僅促進了全球經濟,也將企業及消費者置於風險中,不僅是產品含有惡意程序或安全漏洞,供應鏈本身的安全漏洞還可能危及企業的底線。

身為該指南的作者之一,NIST電腦安全處副處長Jon Boyens解釋,當供應鏈遭到勒索軟體攻擊時,製造商可能因缺乏重要組件而停擺,連鎖商店也可能只是因為維護其空調系統的公司得以訪問其共享資料而爆發資料外泄事件,該指南的主要讀者群將是產品、軟體及服務的採購商與終端用戶,倘若政府機關或組織尚未着手管理供應鏈的風險問題,那麽這就是一個從零到有的完整工具。

《網路安全供應鏈風險管理》指南鼓勵各組織不僅應考慮它們所使用的最終產品的安全漏洞,也應該查看該產品的組件與其足跡,因為這些組件可能來自其它來源。

此外,NIST也歡迎安全專家、風險管理人員、系統工程師及採購官員參考該指南來進行網路安全的控制。