美國建立SCRM國家戰(zhàn)略和協(xié)調(diào)機制

有效的供應鏈風險管理SCRM應能夠預測供應鏈的未來發(fā)展，識別供應鏈面臨的潛在威脅，減輕或解決供應鏈未來可能面臨的威脅。那么美國政府是如何管理與中國制造的產(chǎn)品和服務以及中國公司參與其ICT供應鏈相關風險的呢?美國擬實施的ICT供應鏈風險的***管理方法有以下五種:

(1)采用自適應SCRM流程。美國國家標準和技術研究所(NIST)一直制定高質(zhì)量、可實施的標準，以改善供應鏈安全和信通技術系統(tǒng)的網(wǎng)絡安全，但NIST開發(fā)的供應鏈控制僅適用于具有“顯著影響”(high- impact)的美國信息系統(tǒng)。決策者必須增強而不是阻礙NIST 等成功合作實體的努力，并在非保密的公共領域盡可能多地討論供應鏈威脅。這些步驟將確保新的SCRM策略能夠自適應、協(xié)作并獲得所有相關方的認可。

(2)建立美國信通技術SCRM的集中領導。目前沒有統(tǒng)一的、整體的SCRM方法，大多數(shù)與SCRM相關的情報收集活動都是以人為本而不是以技術為基礎，這使得聯(lián)邦SCRM計劃難以全面應對全球威脅，也難以隨著需求的增加而擴展。法律法規(guī)之間的沖突和混亂導致漏洞、重復勞動和政策執(zhí)行不一致。

國會和行政部門應鼓勵信息共享和鞏固美國SCRM領導，以優(yōu)化收集和傳播工作。為SCRM的中央領導配備適當?shù)馁Y源和人員，負責將進入聯(lián)邦IT網(wǎng)絡的產(chǎn)品供應商和增值轉銷商按規(guī)定的級別審查。管理和預算辦公室 (OMB)可以進行SCRM的中央權利分配。SCRM中心將提供權威數(shù)據(jù)和持續(xù)監(jiān)測，減少對特定機構SCRM的需求，并將重點放在特定配置和實施情況上。OMB需要在非保密的世界中運作，同時與保密環(huán)境有直接聯(lián)系和追溯權，以確保其與已知威脅保持一致。

(3)將美國法規(guī)條例與撥款掛鉤。建議：1.擴大Wolf條款，或《綜合和進一步持續(xù)撥款法》的第515條，以適用于所有聯(lián)邦機構和實體。2.利用年度報告為所有聯(lián)邦政府實體建立一個“***實踐庫”，提高信息共享和對不斷變化的風險的認識。

(4)促進供應鏈透明度和與工業(yè)界伙伴關系。促進聯(lián)邦信通技術提供商以及初級或一級供應商的公開上市，或至少向政府客戶披露這些信息。政府應根據(jù)所需的風險管理嚴格程度推動自身供應鏈中的所有供應商提高透明度。

(5)制定前瞻性政策。未來的風險將涉及軟件、基于云的基礎架構和超融合產(chǎn)品。供應商或制造商的業(yè)務聯(lián)盟、投資來源以及聯(lián)合研發(fā)也是風險的來源。識別這些風險并創(chuàng)造性地解決它們是SCRM適應性方法的一部分。

對我國的啟示

[[250195]]

對中國來說，可以從產(chǎn)業(yè)競爭力、 國家大戰(zhàn)略和未來主導權三個角度來考慮：

(1)高度重視并提升我國 ICT 產(chǎn)業(yè)自身供應鏈安全等級

美國為了自身的政治經(jīng)濟利益和國家安全，將會進一步提升產(chǎn)品供應鏈的安全審查等級。但是這一審查并不保密，而且為了達到理想的效果，必須建立協(xié)作與信息共享機制。因此，中國的 ICT 產(chǎn)業(yè)供應鏈商應當主動提高自身的安全等級。另一方面，要高度重視并提升產(chǎn)品來抵御全球供應鏈風險的能力，盡早建立起包括產(chǎn)品和行為體在內(nèi)的全周期、可追溯的風險檔案與風險管理預案機制。

(2)要立足我國國家戰(zhàn)略利益進一步促進全球供應鏈與供應鏈伙伴關系的透明化

一方面，需要依靠自身供應鏈的追溯和管理以及與其他層級供應鏈商和實體進行配合;另一方面，可進一步促進全球 ICT 供應鏈與供應鏈伙伴關系的透明度提升，以此開拓并擴展我國 ICT 產(chǎn)品的全球供應鏈業(yè)務。

(3)提前關注來自軟件供應鏈的風險管理并搶占規(guī)則制定主導權

中國應當提前布局，盡早建立一套自主研發(fā)用于監(jiān)測、識別、分析、儲存、 預警、治理的“未來 ICT 供應鏈風險管控體系”，搶占技術制高點與先機。這一系列的標準和規(guī)范形成體系之后，還可以尋求成為國際標準，占據(jù)未來 ICT 供應鏈上游的規(guī)則制定主導權。

[[250196]]

參考文獻：

[1] 美擬制定信息通信技術“供應鏈風險管理國家戰(zhàn)略”以應對來自中國的供應鏈漏洞[EB/OL]. https://www.sohu.com/a/238092258_468736.

[2] Tara, Beeny, Senior, Business, Analyst, Interos, Solutions, Inc. Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology [M]. 美國:Interos Solutions, 2018.

【本文為51CTO專欄作者“中國保密協(xié)會科學技術分會”原創(chuàng)稿件，轉載請聯(lián)系原作者】

戳這里，看該作者更多好文