供应链风险管理

信息和通讯技术(ICT)部门包括成千上万的跨国公司每年生产成千上万的新硬件和软件组件。ICT制造组件还包括复杂的供应商关系,全球分布的物流、高速率的组件变化,强化维护过程的硬件和软件组件,和各种各样的兼容性和合规问题。许多即时库存等物流问题是重要的,但不是ICT设备的最终用户的关注。终端用户想要的可靠性、完整性和可信性在他们从供应商获得的产品。这包括产品本身,如电脑,或任何设备,商店,流程,或传送数据,以及产品上运行的软件。

在软件方面有成千上万的软件开发公司,雇用数以百万计的程序员。软件编程更接近于一门艺术而非科学结果,软件质量不一致,通常含有难以探测错误,是投放市场之前充分的测试,并且可以留给你的系统开发弱点。软件应用程序使用我们所有的电脑,平板电脑和智能手机,但也包括操作系统,如苹果os x和微软Windows 8。当有人宣传作为其中的一个错误公开已知的漏洞我们都得到应用补丁。有标准和最佳实践开发的组织提供软件开发人员工具来减少软件错误和提高整体质量。一个这样的组织软件保证卓越论坛代码(SAFECode)识别工作,促进最佳实践开发和交付更安全可靠的软件。其他组织如打开Web应用程序安全性项目(OWASP),构建安全(BSI)财团也为软件开发人员提供有用的工具和实践。

硬件设备如服务器和路由器是昂贵的和有价值的设备内部的元件可以被盗,换成了低质量的组件,或者完全是假冒的。一个常见的问题是,集成电路或电子设备中使用“芯片”是发现之前使用,从废弃产品,清理,溜进一束新芯片产品制造商。家用电器、医疗设备、汽车和军事系统都接触,受到这种威胁。企业和行业组织以及国际标准组织和政府机构打击这些犯罪行为是一致的。一些示例国际标准组织(ISO)其出版的“ISO 27036”,SAE国际其出版的“在5553年”。的开放组织信任的技术论坛发展实践关注吗供应链的可信度。

供应链风险的定义

风险是坏事会发生的机会。ICT供应链出现风险损失的机密性,完整性,可用性的信息或信息系统和反映组织操作的潜在不利影响(包括任务、功能、形象或声誉),组织资产、个人和其他组织。这种风险可以采取的形式的软件开发,测试的产品装运之前不足,使用最便宜的部件,即使这意味着他们可能不是真实的。

供应链风险管理(SCRM)是理解这些风险的过程中,他们的业务影响,以及如何管理它们通过缓解供应链贯穿整个系统生命周期的弱点和漏洞。的美国国家标准和技术研究院(NIST)生产是一个指南的组织寻求理解和采纳行为加强生命周期流程,之前和收购后,使其更耐供应链开发。

有效的ICT SCRM需要流程、过程和工具允许组织跨所有ICT系统应用SCRM原则一致。这样的一个原则是尽量减少假冒零件的风险,因为他们可能会导致不可预测的行为,早期的失败,或者更糟。因此它成为必要区分假冒零件从真实的部分。例如,电子测试,可以比较一个特定组件制造商的设计标准或一个好的工件。这些测试测量属性,如逻辑电路,频率特性,和常见的电气参数(如功耗),所有这些结合起来,帮助形成一个数字“指纹”。

需要一个结构化的语言来表达这些特征,使得供应链的所有成员可以交流,并可以用来提醒别人仿冒品或表达合法的标准项目。结构化的语言来描述这些可观测的属性的合法和非法的组件是减少供应链风险的一个工具。

供应链信息交换共享资源

Early-in-lifecycle ICT SCRM降低网络投资风险,结果从糟糕/恶意的硬件和软件设计,并最终将导致预期成本降低的反应,改造和网络重构。相反,失败投资SCRM在系统开发早期阶段将需要更复杂的监控和网络情报能力,以避免损失的基本功能。达到最好的投资回报率,SCRM活动必须嵌入和与整体网络安全策略和操作。