本文主要從完整性、保密性、可用性、可控性等角度分析了ICT供應(yīng)鏈存在的安全風(fēng)險(xiǎn),設(shè)計(jì)了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估實(shí)踐模型,并從主管監(jiān)管和企業(yè)執(zhí)行兩個(gè)層面提出加強(qiáng)ICT供應(yīng)鏈安全監(jiān)管體系建設(shè)的建議。 

【文章來(lái)源】：保密科學(xué)技術(shù). 2020,(05)

【文章頁(yè)數(shù)】：4 頁(yè)

【部分圖文】：

ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理思路

評(píng)估ICT供應(yīng)鏈安全風(fēng)險(xiǎn)首先需要開展資產(chǎn)識(shí)別，確定此次評(píng)估對(duì)象并以此為切入點(diǎn)，梳理組織面臨的供應(yīng)鏈安全風(fēng)險(xiǎn)。針對(duì)確定的對(duì)象，將其按照硬件、軟件、服務(wù)3個(gè)維度梳理出其關(guān)鍵模塊，形成關(guān)鍵模塊列表，該列表是后續(xù)分析的基礎(chǔ)。從設(shè)計(jì)階段的列表中選定某一關(guān)鍵模塊，從生產(chǎn)階段，根據(jù)其是研發(fā)還是采購(gòu)，進(jìn)行I C T供應(yīng)鏈安全風(fēng)險(xiǎn)梳理。如為自研自產(chǎn)，則需根據(jù)其是否是成熟模塊，是否存在自研流程逐一分析。如為采購(gòu)，則可能引入更多的安全風(fēng)險(xiǎn)。一般又分為外購(gòu)和外協(xié)兩種類型，前者主要針對(duì)通用元器件，后者主要針對(duì)定制化元器件和模塊。需從外包申請(qǐng)流程、外購(gòu)/外協(xié)管理制度、多次外協(xié)管理、外購(gòu)/外包實(shí)施等環(huán)節(jié)進(jìn)行重點(diǎn)評(píng)估。

一是從戰(zhàn)略層面加強(qiáng)I C T供應(yīng)鏈安全管理，將其提高到國(guó)家安全的高度。二是建設(shè)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理體系，加快ICT供應(yīng)鏈安全相關(guān)法律法規(guī)、規(guī)章制度和國(guó)家/行業(yè)標(biāo)準(zhǔn)的制定和出臺(tái)，鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施和重點(diǎn)行業(yè)對(duì)本領(lǐng)域ICT供應(yīng)鏈安全現(xiàn)狀和風(fēng)險(xiǎn)進(jìn)行摸底和分析。

【參考文獻(xiàn)】：
期刊論文
[1]國(guó)外ICT供應(yīng)鏈安全管理研究及建議[J]. 倪光南,陳曉樺,尚燕敏,王海龍,徐克付.  中國(guó)工程科學(xué). 2016(06)
[2]美國(guó)《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理指南》研究[J]. 張偉麗.  中國(guó)信息安全. 2016(05)



本文編號(hào)：3239959