近日，美國國家標準與技術研究所(NIST)再次更新了《網絡安全供應鏈風險管理》(C-SCRM)指南，提供了與供應鏈攻擊相關的趨勢和最佳實踐，指導企業有效管理軟件供應鏈風險，以及在遭受供應鏈攻擊時該如何進行應急響應。

網絡供應鏈風險管理(C-SCRM)是識別、評估和減輕ICT產品和服務供應鏈分配和互聯性相關風險的過程。C-SCRM覆蓋了ICT的整個生命周期：包括硬件、軟件和信息保障，以及傳統的供應鏈管理和供應鏈安全實踐。

目前，NIST發布了“系統和組織網絡安全供應鏈風險管理實踐”，以此響應“改善國家網絡安全”的美國第14028號行政命令。

系統和組織網絡安全供應鏈風險管理實踐明確指出，本刊物的目的是為企業提供有關如何識別、評估、選擇和實施風險管理流程以及減輕企業控制措施的指導，以幫助管理整個供應鏈的網絡安全風險。”

修訂后的指南主要針對產品、軟件和服務的收購方和最終用戶，并為不同的受眾提供建議：網絡安全專家、負責企業風險管理人員、采購人員、信息安全/網絡安全/隱私、系統開發/工程/實施的領導和人員等。

NIST 的Jon Boyens表示，管理供應鏈的網絡安全是一項一直存在的需求，當供應鏈遭到勒索軟件攻擊時，制造商可能因缺乏重要組件而停擺，連鎖商店也可能只是因為維護其空調系統的公司得以訪問其共享資料而爆發資料外泄事件，該指南的主要讀者群將是產品、軟件及服務的采購商與終端用戶，倘若政府機關或組織尚未著手管理供應鏈的風險問題，那么這就是一個從零到有的完整工具。

NIST的專家們進一步強調了現代產品和服務供應鏈安全的重要性。畢竟，一種設備可能是在一個國家/地區設計的，但是它的組件可能在全球多個國家/地區制造，只要生產這些組件的公司其中一個出現安全事件，那么就有可能會對整個供應鏈的產品和服務產生重大影響，大大增加了全球組織的攻擊面和受影響的連鎖性。

例如制造商可能會因為其中一個供應商受到勒索軟件攻擊，而導致關鍵制造組件的供應中斷，或者零售連鎖店可能會因為維護其空調系統的公司可以訪問商店的數據共享網站而遭遇數據泄露事件。

參考來源：https://securityaffairs.co/wordpress/131066/laws-and-regulations/nist-supply-chain-guidance.html