近日，美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)再次更新了《網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理》(C-SCRM)指南，提供了與供應(yīng)鏈攻擊相關(guān)的趨勢和最佳實踐，指導(dǎo)企業(yè)有效管理軟件供應(yīng)鏈風(fēng)險，以及在遭受供應(yīng)鏈攻擊時該如何進(jìn)行應(yīng)急響應(yīng)。

網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理(C-SCRM)是識別、評估和減輕ICT產(chǎn)品和服務(wù)供應(yīng)鏈分配和互聯(lián)性相關(guān)風(fēng)險的過程。C-SCRM覆蓋了ICT的整個生命周期：包括硬件、軟件和信息保障，以及傳統(tǒng)的供應(yīng)鏈管理和供應(yīng)鏈安全實踐。

目前，NIST發(fā)布了“系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理實踐”，以此響應(yīng)“改善國家網(wǎng)絡(luò)安全”的美國第14028號行政命令。

系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理實踐明確指出，本刊物的目的是為企業(yè)提供有關(guān)如何識別、評估、選擇和實施風(fēng)險管理流程以及減輕企業(yè)控制措施的指導(dǎo)，以幫助管理整個供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險?！?/p>

修訂后的指南主要針對產(chǎn)品、軟件和服務(wù)的收購方和最終用戶，并為不同的受眾提供建議：網(wǎng)絡(luò)安全專家、負(fù)責(zé)企業(yè)風(fēng)險管理人員、采購人員、信息安全/網(wǎng)絡(luò)安全/隱私、系統(tǒng)開發(fā)/工程/實施的領(lǐng)導(dǎo)和人員等。

NIST 的Jon Boyens表示，管理供應(yīng)鏈的網(wǎng)絡(luò)安全是一項一直存在的需求，當(dāng)供應(yīng)鏈遭到勒索軟件攻擊時，制造商可能因缺乏重要組件而停擺，連鎖商店也可能只是因為維護(hù)其空調(diào)系統(tǒng)的公司得以訪問其共享資料而爆發(fā)資料外泄事件，該指南的主要讀者群將是產(chǎn)品、軟件及服務(wù)的采購商與終端用戶，倘若政府機(jī)關(guān)或組織尚未著手管理供應(yīng)鏈的風(fēng)險問題，那么這就是一個從零到有的完整工具。

NIST的專家們進(jìn)一步強(qiáng)調(diào)了現(xiàn)代產(chǎn)品和服務(wù)供應(yīng)鏈安全的重要性。畢竟，一種設(shè)備可能是在一個國家/地區(qū)設(shè)計的，但是它的組件可能在全球多個國家/地區(qū)制造，只要生產(chǎn)這些組件的公司其中一個出現(xiàn)安全事件，那么就有可能會對整個供應(yīng)鏈的產(chǎn)品和服務(wù)產(chǎn)生重大影響，大大增加了全球組織的攻擊面和受影響的連鎖性。

例如制造商可能會因為其中一個供應(yīng)商受到勒索軟件攻擊，而導(dǎo)致關(guān)鍵制造組件的供應(yīng)中斷，或者零售連鎖店可能會因為維護(hù)其空調(diào)系統(tǒng)的公司可以訪問商店的數(shù)據(jù)共享網(wǎng)站而遭遇數(shù)據(jù)泄露事件。

參考來源：https://securityaffairs.co/wordpress/131066/laws-and-regulations/nist-supply-chain-guidance.html