分類
CISSP

NIST 對 ICT 供應鏈的常見風險

https://ithelp.ithome.com.tw/upload/images/20210701/201321604LXVpGk37I.jpg
-ICT SCRM 支柱和可見性(來源:NIST SP 800-161)
僅當購買正版產品時,生命週期終止 (EOL) 和支持終止 (EOS) 才是關鍵問題。OEM 或供應商將不支持假冒產品。符合通用標準 (CC) 的產品固然很好,但在大多數組織中並不是強制性的。而且,仿冒也沒有意義。
以下是 NIST 對 ICT 供應鏈的常見風險:

  1. 插入假冒產品
  2. 未經授權的生產
  3. 篡改
  4. 盜竊
  5. 插入惡意軟件和硬件
  6. 糟糕的製造和開發實踐
    這些 ICT 供應鏈風險可能包括假冒產品的插入、未經授權的生產、篡改、盜竊、惡意軟件和硬件的插入,以及ICT 供應鏈中不良的製造和開發實踐。這些風險與組織對他們獲得的技術如何開發、集成和部署以及用於確保完整性、安全性、彈性和彈性的流程、程序和實踐的可見性和理解降低有關。產品和服務的質量。
    來源:NIST SP 800-161

產品銷售和支持(Product Sales and Support****)
終止產品銷售和支持的政策因供應商而異。下圖是產品 EOL 和 EOS 的示例。
https://ithelp.ithome.com.tw/upload/images/20210701/201321600sL8BblJjM.jpg
-EOL 和 EOS:產品銷售和支持
參考
霍尼韋爾(Honeywell)
什麼是生命週期終止 (EOL) 與服務/支持生命週期終止 (EOSL)?
產品生命週期和支持管理 – Evolis 公司政策
EVOLIS 目錄產品:停產日期
思科產品生命週期終止政策

資料來源: Wentz Wu QOTD-202104014

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。