CISA發布新硬體物料清單框架，強化硬體採購風險管理

CISA（Cybersecurity and Infrastructure Security Agency）發布了新的硬體物料清單框架（Hardware Bill of Materials Framework，HBOM），這個框架是由公私部門專家所組成的資訊和通訊技術供應鏈風險管理工作組（ICT SCRM Task Force）所開發。

該框架的主要目的，是要提供一個一致可遵循的規範，讓買方和賣方可以針對硬體元件進行溝通，進而有效評估並減少供應鏈中存在的資安風險。

HBOM透過標準化命名方法、詳盡的元件資訊和明確指引，可協助降低採購硬體所面臨的安全風險。框架的重要部分包括使用情境分類、HBOM格式和資料欄位分類。使用情境描述一系列情境和範例，告訴買方應該在何種情況或是特定風險背景，需要使用到HBOM。

而HBOM格式則是規範框架的一致性，使其易於產生和使用，而資料欄位分類，則列出包含在HBOM中的各種元件與輸入屬性，說明要製作或是查看HBOM時需要注意的資料。整體來說，這個框架可被用於評估供應鏈風險，協助組織更好地管理供應鏈中的風險。