美国NIST发布网络供应链风险管理战略

ANSI（美国国家标准协会）鼓励利益相关方对文件草案进行反馈

为了降低全球供应链中的网络安全风险，美国国家标准技术研究院(NIST)本月发布了针对所有类型企业的网络风险管理指南草案。在其主要建议中，NIST强调使用工业标准来确定供应商的重要性。美国国家标准协会(ANSI)鼓励利益相关方对草案进行反馈，草案公开征求公众意见，截止日期为2020年3月4日。

该指南基于NIST网络供应链风险管理(C-SCRM)项目的研究和2015年、2019年公司采访的信息。

NIST还发布了24个案例研究，展示了包括梅奥医学中心(Mayo Clinic)、帕洛阿尔托网络公司(Palo Alto Networks，Inc.)和希捷技术公司(Seagate Technology)在内的不同公司如何实施网络评估战略，以保护他们的业务。

安全第一：网络供应链风险管理如何支持企业安全

从航空航天到制造业，无论是什么组织，供应链的妥协都有可能扰乱业务，并向下渗透到产品和服务。供应链出现漏洞的代价高昂，并会带来重大的安全问题。尽管企业可能配备了很好的安全工具和保护措施，但他们需要评估整个供应链上的环节是否有相同类型的保护措施，以避免黑客攻击。

NIST将“网络供应链风险管理”定义为识别、评估和降低与[信息技术/运营技术]IT/OT产品和服务供应链的分布式和互联性相关的风险的过程。此外，它还涵盖“系统的整个生命周期(包括设计、开发、分发、部署、获取、维护和销毁)，因为供应链威胁和漏洞可能在任何阶段有意或无意地危及IT/OT产品或服务。”

NIST于2008年启动了信息和通信技术(ICT)供应链风险管理(SCRM)计划，以制定缓解和实施方法的指南。

《网络供应链风险管理中的关键实践》(草案NISTIR 8276)详细介绍了适用于任何规模、范围和复杂性的组织的关键实践，并提供了进一步研究C-SCRM最佳实践的更多资源，包括针对其行业的最佳实践。