于每个类别,工作组将组建团队以报告格式编写一份描述/场景报告,其中包括威胁本身的背景信息、威胁的重要性以及对供应链的潜在影响。如果编写团队认为合适,可为每个类别开发多个场景。开发一种通用格式,以确保每个威胁场景都能提供与NIST SP 800-161中确定的信息字段要求一致的特定威胁的综合视图。
该过程和由此产生的描述不仅可以作为对特定SCRM威胁的基线评估,而且可以进一步作为NIST风险管理框架应用的示范指南。这个过程可以扩展到产品和服务评估,也可以复制到其他关键基础架构提供商。它还建立了一个可靠的威胁源评估,可以扩展到特定产品或服务,以推动SCRM风险的评估。
其他工作组主要职责:
WG1双向信息共享
WG3合格投标名单/合格制造商名单
WG4 供应商SCRM模板
ICT供应链风险管理组
2018年10月,网络安全和基础设施安全局(CISA)启动了ICT供应链风险管理工作组,这是一个公私合作伙伴关系,旨在就评估和管理ICT供应链相关风险的方法向CISA及其利益相关者提供建议。第二工作组(WG2,威胁评估)是为了确定基于威胁的ICT供应商、产品和服务评估的流程和标准而建立的。
工作组主要成员基本来自国土安全局(DHS)、总务管理局(GSA)、联邦通信委员会(FCC)、联邦调查局(FBI)、司法部(DOJ)、国防部(DoD)、NASA等,同时包括一些主流ICT企业,如Intel、AT&T、Sprint、HP、DELL、CenturyLink、Verizon、FireEye、Cisco、Microsoft等。
网络供应链风险管理(Cyber Supply Chain Risk Management,C-SCRM)是识别、评估、预防和缓解ICT(包括物联网)产品和服务供应链分布式和互联性相关风险的过程。C-SCRM涵盖ICT的全生命周期,包括硬件、软件和信息保障,以及传
