机构名称:
¥ 1.0
简介 涉及供应链的网络安全事件不断增加(ENISA,2021),政府和组织越来越注重开发成熟的网络供应链风险管理(C-SCRM)计划。例如,美国最近取得的大部分进展都是基于第 14028 号行政命令和最近的国家网络安全战略,旨在改善国家的网络安全态势,此前发生了几起备受瞩目的事件,最终以 SolarWinds 攻击结束。欧盟委员会 NIS2 指令加强了这一点,将责任扩大到供应链。 本文件旨在帮助您考虑您的组织或与您合作的组织如何在供应链环境中解决事件管理问题。它以当前指导为基础,通过将事件响应和管理纳入当前的 SCRM 计划中,反之亦然,弥补了当前的差距。它不是规定性的,因为每个组织都有与其各自业务目标相关的风险和控制目标。本指南使用 ROSE 分类法 [图 1] 进行供应链风险管理。该分类法源自对英国、美国和欧盟当局就 C-SCRM 提供的建议和指导的审查分析得出的主题(Topping 等人,2021 年)。它将“服务”定义为包括服务提供商和集成商 (SPI)、原始设备制造商 (OEM)、授权经销商、供应商(硬件、软件和固件)、承包商和分包商。服务和其他类别(风险、所有权和端到端)有子类别,而这些子类别又具有附件 A 中详述的属性。技术和服务也可以使供应商成为有效事件预防、检测、响应和恢复的重要合作伙伴。对于托管安全服务提供商 (MSSP)、安全供应商、安全顾问和 IT/OT 1 服务提供商来说尤其如此。
制定供应链事件响应指南...
主要关键词
相关文件推荐
