《联邦信息系统供应链风险管理指南》之ICT供应链风险管理方法及过程

Original 冯越中国保密协会科学技术分会 2022-10-02

2015年2月，美国国家标准和技术研究所（the National Institute of Standards and Technology，NIST）发表了《联邦信息系统供应链风险管理指南》（NIST SP800-161），该指南旨在指导联邦政府采取相应的措施以减少信息通信系统（Information and Communications Technology，ICT）供应链风险。其主要内容包括ICT供应链及ICT供应链风险的来源、ICT供应链风险管理方法、ICT供应链风险管理过程和ICT供应链安全控制。本文主要对ICT供应链风险管理方法及过程展开叙述。第一节从ICT供应链风险管理的角度描述了三层风险管理方法。通常高级管理者提供战略指导，中层领导计划和管理项目，一线人员开发、实践和运维ICT供应链基础设施。可以将每个级别执行的任务集成到组织的整体风险管理流程中，以确保ICT供应链管理完成目标。第二节介绍了ICT供应链风险管理的过程。

ICT供应链风险管理方法

ICT供应链风险管理（Supply Chain Risk Management，SCRM）是一项复杂的、多方面的工作，需要整个组织共同的努力。为了将ICT供应链风险管理融入到整个组织的风险管理过程中，该指南提出了多层次的风险管理方法，主要针对以下方面的风险：（1）组织层；（2）业务处理层；（3）信息系统层。

组织层组织层致力于制定整体ICT SCRM战略，确定组织层面的ICT SCRM风险，为组织提供战略性ICT SCRM指导。组织层的主要参与者是组织的高级管理者，该层的具体职责包括：（1）根据外部和组织的要求和约束条件（例如法律和法规）建立ICT SCRM政策，政策应包括ICT SCRM计划的目的、资金需求等；（2）根据ICT SCRM政策确定会影响ICT SCRM的业务需求，如成本、进度、性能、安全、隐私、质量等，以及确定包括ICT SCRM在内的具体信息安全需求；（3）建立ICT供应链的风险承受能力等级；（4）建立贯穿整个组织的ICT SCRM团队；（5）确保将ICT SCRM适当的整合到组织风险管理政策和活动中。业务处理层业务处理层从业务流程的角度解决风险，负责定义项目需求并对其进行管理，包括ICT SCRM的成本、计划、性能和各种关键的非功能性需求。非功能性需求包括可靠性、安全性、和质量保证等。通过对系统集成商、供应商以及外部服务器提供商的信任管理，解决潜在的威胁。该层的主要参与者为中层领导，对确保完成任务和业务操作至关重要，其具体职责包括：（1）定义风险应对策略；（2）建立ICT SCRM流程；（3）确定业务处理流程中所需的ICT SCRM 要求；（4）将ICT SCRM要求纳入业务处理流程中；（5）将ICT SCRM要求集成到企业体系结构中；（6）建立ICT SCRM团队，与组织层的ICT SCRM团队进行协调与协作。信息系统层信息系统层将ICT SCRM整合到组织信息系统及组件的开发生命周期中，负责在具体信息系统上建立并实践风险管理。该层的主要参与者是信息系统的开发、实践及信息系统运维人员，其主要职责包括：（1）在开发和维护信息系统的过程中应用、监视和管理ICT SCRM控制；（2）在系统的整合生命周期中应用、监视和管理ICT SCRM控制。

ICT供应链风险管理过程

风险管理是一个全面的过程，需要组织：（1）构建风险管理框架；（2）进行风险评估；（3）及时应对风险；（4）对风险持续监控。如图展示了这四个步骤之间的关系。风险管理过程中的框架、评估、检测和响应是一个迭代的过程，本质上并没有固定的顺序，可能需要不同的人根据特定的需要或情况执行这些步骤。组织在如何执行这些步骤以及如何捕获和共享每个步骤的结果方面具有极大的灵活性。下面将简单介绍这四个过程。

框架构建风险管理框架这一步骤定义了整个ICT供应链的范围和结构、ICT基础设施、整体的ICT风险管理策略以及风险管理具体计划或个人信息系统的需求。ICT SCRM风险框架是一个迭代的过程，一个操作过程的输出也可以作为另外一个操作过程的输入。框架建立过程中收集的数据和信息可以为ICT供应链风险管理活动提供输入信息。ICT供应链风险管理框架应当融入到组织风险管理活动中，组织风险管理框架的输入应当作为ICT供应链风险管理框架的输入。该过程中的行动主要包括：（1）风险假设。对影响风险评估、响应和监测的可能因素进行假设。（2）风险约束。确定风险评估、响应和监测的约束条件。（3）风险容忍。确定组织对风险容忍的承受水平。（4）优先级。确定组织在管理风险时考虑的优先级。评估进行风险评估是将所有收集的数据用于风险评估，分析输入的大量数据，确定ICT供应链受损的可能性和影响，包括严重性、脆弱性等。该过程中的行动主要包括：（1）关键性分析。关键性分析主要针对组织和系统集成商、供应商、外部服务提供商以及ICT供应链基础组成，评估它们各自对任务优先级的直接影响，减少供应链安全威胁。（2）威胁和漏洞识别。识别信息系统和系统运行环境中的威胁和漏洞。（3）风险确定。组织通过考虑已知威胁、漏洞以及他们发生所产生的后果或不利影响来确定ICT供应链风险，需要确定操作风险、资产风险、个人、其他组织及国家层面的风险。响应响应是进行风险评估的个人将评估结果传达给决策者，制定相应的ICT供应链风险应对措施的过程。应以适当的方式提供此信息，以指导基于风险的决策。这将使决策者能够基于相应风险因素来最终确定适当的风险应对措施。适当的应对措施有时可能是什么都不做，监视对手的活动和行为，以更好地了解敌方。该过程中的行为主要包括：（1）风险识别。组织应选择ICT SCRM控制措施，并根据风险来确定和调整这些控制措施。（2）替代方案。评估风险应对方案的可行性，对替代方案进行分析，以便在整个组织中应用该方案。（3）风险响应决策。根据需要与组织的风险主管、任务负责人和系统所有者合作做出风险响应决策。（4）风险响应实施。实施为响应风险而选择的应对方案。监测对信息系统或ICT供应链环境的变化进行监控，对风险进行持续跟踪，对风险响应措施进行持续更新，将风险控制在一定范围内。该过程中的行为主要包括：（1）风险监测策略。组织应制定详细的风险监测策略，其中包括监测活动的目的、类型和频率。（2）风险监测。持续监测信息系统和运营环境，以验证合规性，确定风险应对措施的有效性，并及时变更。

总结

本文介绍的联邦政府ICT供应链风险管理的方法和过程对我国进行ICT供应链风险管理具有诸多的启示，对我国有效控制供应链风险，保障我国政府产品、服务及信息系统安全均有帮助。

参考文献[1] NIST Special Publication 800-161[2] 张伟丽. 美国《联邦信息系统供应链风险管理指南》研究[J]. 中国信息安全, 2016, No.77(05):91-95.

中国保密协会

科学技术分会

长按扫码关注我们

作者：冯越责编：蔡北平

往期精彩文章TOP5回顾