建立的。
工作组主要成员基本来自国土安全局(DHS)、总务管理局(GSA)、联邦通信委员会(FCC)、联邦调查局(FBI)、司法部(DOJ)、国防部(DoD)、NASA等,同时包括一些主流ICT企业,如Intel、AT&T、Sprint、HP、DELL、CenturyLink、Verizon、FireEye、Cisco、Microsoft等。
网络供应链风险管理(Cyber Supply Chain Risk Management,C-SCRM)是识别、评估、预防和缓解ICT(包括物联网)产品和服务供应链分布式和互联性相关风险的过程。C-SCRM涵盖ICT的全生命周期,包括硬件、软件和信息保障,以及传统的供应链管理和供应链安全考虑因素。
WG2侧重于威胁评估,而不是全面的考虑威胁以及组织对风险的容忍度、特定资产或业务目的关键性以及可能被外部利用的特定漏洞影响的风险评估任务,因为风险与资产相关(在特别工作组的定义中,风险与产品、服务、供应商有关)。工作组利用了NIST SP 800-161中描述的NIST风险管理实践,以帮助指导工作中确定的威胁和威胁源分析。
用于开发和分析与供应商相关的供应链管理威胁的步骤:
工作组成员要根据最初提出的范围确定有代表性的样本,这些样本针对供应商最严重的SCRM威胁。一旦确定威胁,WG就开始编写NIST SP 800-161中确定的附加信息字段,作为与WG成员一起捕获和改进的要素。
工作组随后审查了每一个确定的威胁,对组织确定的威胁拟制定一套通用分类和类别匹配。在对工作组提交威胁的介绍和分析基础上,将威胁聚合成一组更小、更易于管理的通用“威胁分组”,以此帮助评估过程。聚集的目的是减少威胁数据,并确定通用要素,以便使用场景开发流程进行进一步评估。
工作组成员共享分组和描述性标题以供审查和评论。这些威胁分组用于指导场景开发,旨在为进行供应商