欲望

432143214ICT供应链风险管理组

2018年10月，网络安全和基础设施安全局(CISA)启动了ICT供应链风险管理工作组，这是一个公私合作伙伴关系，旨在就评估和管理ICT供应链相关风险的方法向CISA及其利益相关者提供建议。第二工作组(WG2，威胁评估)是为了确定基于威胁的ICT供应商、产品和服务评估的流程和标准而建立的。

工作组主要成员基本来自国土安全局（DHS）、总务管理局（GSA）、联邦通信委员会（FCC）、联邦调查局（FBI）、司法部（DOJ）、国防部（DoD）、NASA等，同时包括一些主流ICT企业，如Intel、AT&T、Sprint、HP、DELL、CenturyLink、Verizon、FireEye、Cisco、Microsoft等。

网络供应链风险管理(Cyber Supply Chain Risk Management，C-SCRM)是识别、评估、预防和缓解ICT(包括物联网)产品和服务供应链分布式和互联性相关风险的过程。C-SCRM涵盖ICT的全生命周期，包括硬件、软件和信息保障，以及传统的供应链管理和供应链安全考虑因素。

WG2侧重于威胁评估，而不是全面的考虑威胁以及组织对风险的容忍度、特定资产或业务目的关键性以及可能被外部利用的特定漏洞影响的风险评估任务，因为风险与资产相关(在特别工作组的定义中，风险与产品、服务、供应商有关)。工作组利用了NIST SP 800-161中描述的NIST风险管理实践，以帮助指导工作中确定的威胁和威胁源分析。

用于开发和分析与供应商相关的供应链管理威胁的步骤：

工作组成员要根据最初提出的范围确定有代表性的样本，这些样本针对供应商最严重的SCRM威胁。一旦确定威胁，WG就开始编写NIST SP 800-161中确定的附加信息字段，作为与WG成员一起捕获和改进的要素。

工作组随后审查了每一个确定的威胁，对组织确定的威胁拟制定一套通用分类和类别匹配。在对工作组提交威胁的介绍和分析基础上，将威胁聚合成一组更小、更易于管理的通用“威胁分组”，以此帮助评估过程。聚集的目的是减少威胁数据，并确定通用要素，以便使用场景开发流程进行进一步评估。

工作组成员共享分组和描述性标题以供审查和评论。这些威胁分组用于指导场景开发，旨在为进行供应商威胁评估的流程和标准提供深入了解。

对于每个类别，工作组将组建团队以报告格式编写一份描述/场景报告，其中包括威胁本身的背景信息、威胁的重要性以及对供应链的潜在影响。如果编写团队认为合适，可为每个类别开发多个场景。开发一种通用格式，以确保每个威胁场景都能提供与NIST SP 800-161中确定的信息字段要求一致的特定威胁的综合视图。

该过程和由此产生的描述不仅可以作为对特定SCRM威胁的基线评估，而且可以进一步作为NIST风险管理框架应用的示范指南。这个过程可以扩展到产品和服务评估，也可以复制到其他关键基础架构提供商。它还建立了一个可靠的威胁源评估，可以扩展到特定产品或服务，以推动SCRM风险的评估。

其他工作组主要职责：

WG1双向信息共享

WG3合格投标名单/合格制造商名单

WG4 供应商SCRM模板

ICT供应链风险管理组

2018年10月，网络安全和基础设施安全局(CISA)启动了ICT供应链风险管理工作组，这是一个公私合作伙伴关系，旨在就评估和管理ICT供应链相关风险的方法向CISA及其利益相关者提供建议。第二工作组(WG2，威胁评估)是为了确定基于威胁的ICT供应商、产品和服务评估的流程和标准而建立的。

工作组主要成员基本来自国土安全局（DHS）、总务管理局（GSA）、联邦通信委员会（FCC）、联邦调查局（FBI）、司法部（DOJ）、国防部（DoD）、NASA等，同时包括一些主流ICT企业，如Intel、AT&T、Sprint、HP、DELL、CenturyLink、Verizon、FireEye、Cisco、Microsoft等。

网络供应链风险管理(Cyber Supply Chain Risk Management，C-SCRM)是识别、评估、预防和缓解ICT(包括物联网)产品和服务供应链分布式和互联性相关风险的过程。C-SCRM涵盖ICT的全生命周期，包括硬件、软件和信息保障，以及传统的供应链管理和供应链安全考虑因素。

WG2侧重于威胁评估，而不是全面的考虑威胁以及组织对风险的容忍度、特定资产或业务目的关键性以及可能被外部利用的特定漏洞影响的风险评估任务，因为风险与资产相关(在特别工作组的定义中，风险与产品、服务、供应商有关)。工作组利用了NIST SP 800-161中描述的NIST风险管理实践，以帮助指导工作中确定的威胁和威胁源分析。

用于开发和分析与供应商相关的供应链管理威胁的步骤：

工作组成员要根据最初提出的范围确定有代表性的样本，这些样本针对供应商最严重的SCRM威胁。一旦确定威胁，WG就开始编写NIST SP 800-161中确定的附加信息字段，作为与WG成员一起捕获和改进的要素。

工作组随后审查了每一个确定的威胁，对组织确定的威胁拟制定一套通用分类和类别匹配。在对工作组提交威胁的介绍和分析基础上，将威胁聚合成一组更小、更易于管理的通用“威胁分组”，以此帮助评估过程。聚集的目的是减少威胁数据，并确定通用要素，以便使用场景开发流程进行进一步评估。

工作组成员共享分组和描述性标题以供审查和评论。这些威胁分组用于指导场景开发，旨在为进行供应商威胁评估的流程和标准提供深入了解。

对于每个类别，工作组将组建团队以报告格式编写一份描述/场景报告，其中包括威胁本身的背景信息、威胁的重要性以及对供应链的潜在影响。如果编写团队认为合适，可为每个类别开发多个场景。开发一种通用格式，以确保每个威胁场景都能提供与NIST SP 800-161中确定的信息字段要求一致的特定威胁的综合视图。

该过程和由此产生的描述不仅可以作为对特定SCRM威胁的基线评估，而且可以进一步作为NIST风险管理框架应用的示范指南。这个过程可以扩展到产品和服务评估，也可以复制到其他关键基础架构提供商。它还建立了一个可靠的威胁源评估，可以扩展到特定产品或服务，以推动SCRM风险的评估。

其他工作组主要职责：

WG1双向信息共享

WG3合格投标名单/合格制造商名单

WG4 供应商SCRM模板

WG5 疫情风险研究

目标

WG2——威胁评估，被特许为ICT供应、产品和服务基于威胁的评估过程和标准识别。威胁评估的目标定义为：

制定进行供应商、产品和服务威胁评估的流程和标准。

流程和标准最初将只关注全球ICT供应商的选择、历史和来源。它还将解决产品保障(硬件、软件、固件等)、数据安全和供应链风险。

该流程和标准将建立一个基于威胁的网络供应链风险评估框架，可在未来的工作产品中扩展，以应对其他关键基础设施部门。

WG5 疫情风险研究

目标

WG2——威胁评估，被特许为ICT供应、产品和服务基于威胁的评估过程和标准识别。威胁评估的目标定义为：

制定进行供应商、产品和服务威胁评估的流程和标准。

流程和标准最初将只关注全球ICT供应商的选择、历史和来源。它还将解决产品保障(硬件、软件、固件等)、数据安全和供应链风险。

该流程和标准将建立一个基于威胁的网络供应链风险评估框架，可在未来的工作产品中扩展，以应对其他关键基础设施部门。