网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

国家化标准组织（International Organization for Standardization，ISO）将供应链风险管理分为了两类：传统供应链安全管理和传统供应链信息安全管理。其中，后者更为重视网络安全。

表2 2005 年-2015 年的标准规范和关注点

NIST 相关工作研究

美国国家标准技术研究院NIST 于2008 年启动了非国家安全信息系统供应链风险管理实践开发计划，即ICT SCRM。

该计划推荐使用已有的标准SP 800-37《风险管理框架应用到联邦信息系统中指南：一种安全生命周期方法》和SP 800-39《管理信息安全风险：组织、任务和信息系统视角》来加强ICT 供应链安全风险的管理程序，包括识别和评估可能的风险、确定可能的应对措施，选定应对措施并实施、措施效果监督评估等。

同时，NIST 积极制定新的标准规范，以强化ICT 供应链安全管理。2012 年，发布了NIST IR7622《联邦信息系统供应链风险管理实践》，该标准提供了一种可以在联邦信息系统供应链中使用的具体实践，旨在消除购买、开发和运营过程等供应链全生命周期中可能影响联邦信息系统的高风险。2015 年，发布了SP 800-161《联邦信息系统和组织供应链风险管理实践》，该指南为联邦机构指定ICT 供应链相关政策和程序、管理供应链安全风险提供了其实有效的指导。该指南还提供了一整套的评估和管理供应链风险的程序模板，列出了可能的威胁事件和可供参考的风险框架，指导性作用极强。

欧盟委员会方面于2017 年10 月4 日公布了关于“修改ENISA 授权立法和建立信息通信技术产品和服务网络安全认证制度”的立法草案。该法案自称“网络安全法”（Cybersecurity Act，以下称“欧盟网络安全法”）。欧盟网络安全法的实质是欧盟网络和信息安全局（ENISA）的授权法，为2004 年成立的ENISA 赋予新职能，将其改建为欧盟的“网络安全局”，负责在欧盟层面制定和执行网络安全政策、提升网络安全能力、搜集网络安全信息、构建统一网络安全产品和服务市场，以及研发和创新等工作。根据该法授权，ENISA 的一项重要任务就是建立欧盟层面的信息通信技术产品和服务（ICT 产品和服务）网络安全认证制度。目前，欧盟没有欧盟层面统一的ICT 产品和服务网络安全认证制度，主要依靠各成员国自行组织认证。有的成员国有相关认证制度，有的成员国没有，并且认证所依据的技术标准也不完全统一，企业同一件产品或服务在不同国家需要重复认证。此次欧盟建立ICT 产品和服务网络安全认证制度，一方面是为了提高欧盟域内的网络安全水平，另一方面也是为了建立统一市场，实现“一次认证，全域通行”，取代各成员国现有认证体系。欧盟网络安全法草案并未规定ICT 产品和服务网络安全认证制度的具体细节，而是建立了一个框架性制度，规定了认证制度要实现的目标和应包含的要素，并授权ENISA 具体负责建立认证制度。

我国标准化委员会相关工作研究

我国的标准化委员会针对ICT 供应链安全方面开展了一系列工作，包括发布了GB/T 31722《信息技术 安全技术 信息安全风险管理》（采标于ISO 相关标准，强调安全风险管理）和GB/T 24420《供应链风险管理指南》（通过明确供应链环境信息，充分识别供应链风险，属于大安全领域）。

此外，信息安全标准化委员会正在制定《信息安全技术 ICT 供应链安全风险管理指南》，该标准梳理了ICT 供应链与传统供应链安全管理的不同特点，进而系统呈现了ICT 供应链的安全威胁、脆弱性和可能存在的风险，目前该标准已经推进到征求意见稿阶段。