圖片來源: 

NIST

美國國家標準暨技術研究院(NIST)周四(5/5)更新了長達326頁的《網路安全供應鏈風險管理》(Cybersecurity Supply Chain Risk Management,C-SCRM)指南,以協助那些採購與使用其它技術產品及服務的組織來保護其自身的安全。

該指南詳述了供應鏈可能產生的風險,企業與供應鏈之間的關係,在採購或操作第三方技術時如何確保安全,以及如何將C-SCRM整合到企業風險管理中,還能協助企業辨識、評估與應對供應鏈所帶來的網路風險。

NIST指出,現代化的產品與服務多半必須仰賴連結了全球製造商、軟體與服務供應商的供應鏈,由於供應鏈的來源眾多,使得它不僅促進了全球經濟,也將企業及消費者置於風險中,不僅是產品含有惡意程式或安全漏洞,供應鏈本身的安全漏洞還可能危及企業的底線。

身為該指南的作者之一,NIST電腦安全處副處長 Jon Boyens解釋,當供應鏈遭到勒索軟體攻擊時,製造商可能因缺乏重要元件而停擺,連鎖商店也可能只是因為維護其空調系統的公司得以存取其共享資料而爆發資料外洩事件,此一指南的主要讀者群將是產品、軟體及服務的採購商與終端用戶,倘若政府機關或組織尚未著手管理供應鏈的風險問題,那麼這就是一個從零到有的完整工具。

《網路安全供應鏈風險管理》指南鼓勵各組織不僅應考慮它們所使用的最終產品的安全漏洞,也應該檢視該產品的元件與其足跡,因為這些元件可能來自其它來源。

此外,NIST也歡迎資安專家、風險管理人員、系統工程師及採購官員參考此一指南來進行網路安全的控制。

熱門新聞

Advertisement