《供应链风险管理文档》简介

2017年7月26日，美国国家安全系统委员会（C国家安全系统）发布了《供应链风险管理文档》（SCRM），取代了2012年3月7日发布的版本。本次更新是由于全球市场为攻击者带来更多机会渗透并操纵信息和通信技术（ICT）供应链。主要的攻击方式有获取未经授权的数据，更改数据，破坏功能，中断通信或破坏关键基础架构。此文档旨在规定供应链风险管理执行时的最低标准。

供应链风险管理政策

(一)美国政府部门和机构将：维护组织的SCRM计划（或能力），使风险所有者能够识别，评估和减轻国家安全系统（NSS）组件和相关服务的供应链风险。这种SCRM功能还将应用于在系统开发生命周期（SDLC）的任何时候并且直接支持国家安全系统的非国家安全系统。这些缓解措施必须包括设计和操作国家安全系统，以应对供应链风险。

(二)确定负责以下事项的组织SCRM联系人（POC）：

1.制定组织的整体SCRM战略和实施计划。

2.制定政策和流程以指导和管理组织的SCRM活动。

3.建立，维护和监督SCRM程序（或功能）。

4.确保任务优先级和任务影响告知SCRM决策。

(三)在直接支持国家安全系统或非国家安全系统的SDLC中集成SCRM实践。至少必须合并以下内容：

1.评估由于系统或系统组件或服务的丢失、损坏或破坏而给组织的运营或任务带来的潜在风险。作为该评估的一部分：

（1）确定由直接支持国家安全系统的国家安全系统或非国家安全系统启用的任务的优先级。

（2）通过国家安全系统的规范、设计、开发、实施和修改，降低系统设计阶段引入漏洞风险的可能。

（3）基于对系统组件、服务或功能在实现、保护或影响方面的重要性分析，确定国家安全系统或支持国家安全系统的非国家安全系统的哪些系统组件、服务或功能应集成SCRM实践。国家安全系统或非国家安全系统支持的关键功能，包括在其中传输、处理和存储数据。

（4）根据与国家安全系统运营环境相关的风险评估结果，确定哪些国家安全系统或非国家安全系统的系统组件、服务或功能应整合于SCRM。

2.对与国家安全系统或支持国家安全系统的非国家安全系统相关的组织的供应链风险进行评估，包括对威胁、漏洞、事件发生的可能性以及事件的潜在后果的分析。风险评估应基于现有缓解策略，考虑供应链本身或供应链中的系统/组件可能受到损害的可能性。评估应包括国家安全功能与国家安全系统或非国家安全系统的关系和依赖性相关风险评估，包括：

（1）非关键系统组成部分：在SDLC内进行业务尽职调查，并使用公开可用的信息来评估系统组成部分的供应链风险，并在SCRM评估中记录这些风险。

（2）关键系统组件：进行业务尽职调查，并对关键系统组件使用公开可用的信息和全源供应链威胁信息，并将其记录在SCRM评估中。

（3）在国家安全系统和非国家安全系统的整个生命周期中，持续监视和评估可公开获得的信息以及有关供应链威胁和风险的全源情报报告，并指示和警告。

(四)实施并记录基于风险的缓解措施或其他适当的风险应对措施。每两年至少检查一次相关的风险应对措施，或者随着风险的变化进行审核。

(五)建立使组织能够确定对任务/业务、运营、项目/计划采购要求或供应链更改的流程，以适当地评估对组织的ICT供应链基础架构的影响。

(六)对于参与的美国政府部门和机构，至少每年向国家安全系统委员会报告组织的SCRM能力的进度和有效性。

(七)如果没有与SCRM相关的特定国家安全系统委员会指南，则可以使用美国国家标准与技术研究院（NIST）标准。

供应链风险管理责任认定

(一)国家安全系统委员会将：

1.监控该指令的执行情况，并向国家安全系统委员会领导汇报与SCRM规划和实施活动（包括风险接受）相关的进度和风险。

2.制定SCRM自我评估指南，以供美国政府部门和原子能机构高级官员使用。

3.开发有关SCRM程序（或功能）的综合进度更新。

4.必要时发布支持国家安全系统委员会 SCRM指南的信息。

5.促进美国政府部门和机构，行业和学术界SCRM资源之间的协作（例如测试和评估，培训，风险评估，政策，指南，招标和合同语言）。

6.根据适当的政策，建立用于存储美国部门和代理商汇总报告和信息的方法。

7.当被要求时，就流程，工具，技术和方法的应用向美国政府部门和机构负责人提供建议和指导，以最大程度地减少适用系统的采购和开发软件，固件和硬件的漏洞和恶意意图的风险。

(二)具有国家安全系统或直接支持国家安全系统的非国家安全系统的美国政府部门和机构的负责人将：

1.在各自的部门或机构内建立组织内部的协作式ICT SCRM计划，以：

(1)确定需要供应链风险评估的关键任务产品、材料和服务。

(2)建立一个SCRM联系人，该联系人有权为组织的SCRM计划提供管理、问责和资源建议。

(3)建立对供应链风险进行全面评估的要求。

标识对直接支持国家安全系统的非国家安全系统的国家安全系统依赖关系。

(4)建立优先处理直接支持国家安全系统的国家安全系统或非国家安全系统的关键任务元素的流程。

(5)确保从设计、获取、交付、部署、维护、处置、销毁或退役等整个支持国家安全的国家安全系统或非国家安全系统的SDLC覆盖范围。

(6)确保覆盖适当的合同等级（即主承包商供应商及其关联的分包商）。

(7)实施适当的缓解措施，以缓解供应链风险评估中确定的风险，并由相应的主管部门或决策机构批准。

(8)建立一个流程来记录如何减轻，接受，转移或以其他方式解决供应链风险，并将此记录的信息用于将来的SCRM活动。

(9)传达无法通过技术缓解，对策或风险管理程序以及已发现或怀疑的供应链漏洞无法合理解决的威胁，以进行进一步分析和开发企业补救措施。

(10)颁布关于SCRM做法应用的内部指南。

(11)与各自的部门或机构以及可能与国家安全系统有关联的美国政府实体共享评估。

(12)每年为购置人员和计划人员制定和实施SCRM培训、教育和意识计划。

(13) 对于已识别的非国家安全系统，请与国家安全系统或非国家安全系统程序进行协调，以实施可能影响国家安全系统的SCRM缓解措施。

(14)每年执行并报告美国政府部门或机构SCRM实施进度和有效性的自我评估。该报告必须提供给部门或机构负责人和国家安全系统委员会，并至少包含以下最低限度的信息：

(15)美国政府部门或代理商SCRM 联系人。

(16)更新和/或更改组织SCRM战略，策略和流程。

(17)每年审查和更新SCRM策略。

2.在以下阶段中实施SCRM程序（或功能）：

(1)初始操作能力。在本指令发布之日起的六个月内，美国政府部门或机构必须：

a.识别并指定SCRM 联系人。

b.尽可能最大程度地参与国家安全系统委员会 SCRM活动。

c.制定并获得SCRM战略和实施计划的批准。战略和实施计划应包括有关部门或机构专用于国家安全系统的SCRM能力的演变和维持的指南。

(2)最终操作能力。在本指令发布之日起的24个月内，且在12个月和18个月内更新进度时，美国政府部门或机构必须：

a.执行SCRM战略和实施计划。

b.实施由SCRM风险管理流程确定并确定优先级的风险应对措施。3.识别，记录非国家安全系统的国家安全系统依赖关系并确定其优先级，以实施SCRM活动。

c.适当协调缓解国家安全系统和非国家安全系统的实施。

d.制定并实施SCRM培训，意识和教育计划。

e.规划将SCRM计划制度化所需的持续资源。

(三)国防部长将

1.向直接支持国家安全系统或非国家安全系统的美国政府部门和机构提供SCRM技术咨询和协助；

2.使用国家安全系统或非国家安全系统，以协助美国政府部门和机构评估供应链漏洞。

(四)国家情报局局长办公室将：

通过国家反情报和安全中心，支持国家安全系统委员会流程和指南的开发，以获取和使用有关供应链威胁和风险的全源情报报告，指示和警告。这些过程必须纳入直接支持根据该指令建立的国家安全系统和非国家安全系统的每个部门和机构的SCRM计划和威胁评估实践中。

总结

美国国家安全系统委员会（国家安全系统委员会）发布的《供应链风险管理文档》（SCRM）虽然只是一个最低标准，但是其对于供应链风险管理中应做的责任人确立、风险评估、缓解策略、记录标准、进度审核、责任认定等关键步骤做了明确的指示。

中国保密协会

科学技术分会

长按扫码关注我们

作者：崔越

责编：丁昶 

往期精彩文章TOP5回顾

美国攻击窃密能力背后的顶层架构

美国网络安全体系架构简介

起底突破物理隔离的USB设备攻击窃密技术

通过电力线“搞定”物理隔离计算机

请注意：扬声器、耳机也能窃密了！——Mosquito攻击技术

近期精彩文章回顾