本文主要從完整性、保密性、可用性、可控性等角度分析了ICT供應鏈存在的安全風險,設計了ICT供應鏈安全風險評估實踐模型,并從主管監(jiān)管和企業(yè)執(zhí)行兩個層面提出加強ICT供應鏈安全監(jiān)管體系建設的建議。 

【文章來源】：保密科學技術. 2020,(05)

【文章頁數】：4 頁

【部分圖文】：

ICT供應鏈安全風險管理思路

評估ICT供應鏈安全風險首先需要開展資產識別，確定此次評估對象并以此為切入點，梳理組織面臨的供應鏈安全風險。針對確定的對象，將其按照硬件、軟件、服務3個維度梳理出其關鍵模塊，形成關鍵模塊列表，該列表是后續(xù)分析的基礎。從設計階段的列表中選定某一關鍵模塊，從生產階段，根據其是研發(fā)還是采購，進行I C T供應鏈安全風險梳理。如為自研自產，則需根據其是否是成熟模塊，是否存在自研流程逐一分析。如為采購，則可能引入更多的安全風險。一般又分為外購和外協(xié)兩種類型，前者主要針對通用元器件，后者主要針對定制化元器件和模塊。需從外包申請流程、外購/外協(xié)管理制度、多次外協(xié)管理、外購/外包實施等環(huán)節(jié)進行重點評估。

一是從戰(zhàn)略層面加強I C T供應鏈安全管理，將其提高到國家安全的高度。二是建設ICT供應鏈安全風險管理體系，加快ICT供應鏈安全相關法律法規(guī)、規(guī)章制度和國家/行業(yè)標準的制定和出臺，鼓勵關鍵基礎設施和重點行業(yè)對本領域ICT供應鏈安全現狀和風險進行摸底和分析。

【參考文獻】：
期刊論文
[1]國外ICT供應鏈安全管理研究及建議[J]. 倪光南,陳曉樺,尚燕敏,王海龍,徐克付.  中國工程科學. 2016(06)
[2]美國《聯邦信息系統(tǒng)供應鏈風險管理指南》研究[J]. 張偉麗.  中國信息安全. 2016(05)



本文編號：3239959