NIST SP 800-161 修订版 1 更新 1 网络安全供应链风险管理 Rev.1 Update 1

请求者名称 回应提供者：收购方

C-SCRA 目的和目标 回复提供者：收购方

系统描述 响应提供者：收单方

架构概览 回应提供者：收购方

边界定义 回应者：收购方

评估日期 回应者：收购方

评估员姓名 回应提供者：收购方

贵企业消耗了该供应商该产品/服务销售额的百分之多少？ 回复提供者：收购方或供应商

该产品或服务在您的企业中目前的使用范围如何，或未来将会有多广泛？ 回应者：收购方

该产品/服务是否在根据其主要运营区域被认为对贵企业存在地缘政治风险的地理位置制造（例如，美国）？ 回复提供者：收购方或供应商

该产品是否在被认定为外国对手或特别关注国家的国家制造或开发？ 回应者：收购方

更换此产品或服务的供应商是否会对贵企业造成显著的成本或工作量？ 回复者：收购方

贵公司是否已经与其他供应商就此产品/服务建立了合作关系？ 回答者：采购方

贵企业对于能够在重大供应链中断（无论是人为还是自然因素）情况下获得优质产品/服务有多大信心？ 回应者：收购方

贵企业是否保有该产品或服务的库存？ 回答者：收购方

该产品/服务是否适合其用途？（即是否能够达到目标或服务水平） 由：采购方提供的回复

该产品/服务是否执行基本的安全功能？如果是，请描述。 回应者：收购方

该产品/服务是否具有对IT网络、OT系统或敏感平台的根访问权限？ 回复者：收购方

产品/服务的妥协会导致系统故障或严重降级吗？ 回应者：收购方

在发生导致系统故障或严重性能下降的安全事件时，是否存在已知的独立可靠的缓解措施？ 回答者：收购方

该产品/服务是否会连接到贵企业提供给客户的平台？ 回应者：收购方

该产品/服务是否会传输、生成、维护或处理高价值数据（例如个人身份信息、受保护的健康信息、支付卡信息）？ 响应方：收购方

该产品/服务是否会或是否能够访问传输、生成、维护或处理高价值数据（例如，个人识别信息、受保护健康信息、支付卡信息）的系统？ 回答者：收购方

由于提供该产品/服务，供应商是否需要或曾经需要实际进入公司的设施？ 回复人：收购方

基于对上述回答的整体考量，这款产品/服务对贵企业的重要性如何（即：关键、高、一般、低）？ 回答者：收购方

你是否已经识别了供应商的关键供应商？供应商你是否核实了供应商的所有权，是外国还是国内？ 回复提供者：供应商

如果供应商使用分销商，您是否调查过他们的潜在风险？ 回应方：供应商

供应商是否位于美国？ 回复者：供应商

供应商是否与任何外国政府有人员和/或专业关系（包括其高级职员、董事或类似官员、员工、顾问或承包商）？ 回复提供者：供应商

供应商或供应链中涉及的任何商业实体是否存在外国所有权、控制或影响（FOCI）？如果存在，该外国所有权、控制或影响是否来自美国敌对国或关注国家？ 回答者：供应商

供应商设有总部、研发、生产、测试、包装、分销或服务设施或其他业务的任何外国的法律法规是否要求向该外国共享技术或数据？ 由供应商提供的回复

供应商是否已声明将从何处购买替换组件？ 回复人：供应商

是否已经识别并验证了所有供应商、分包商和次级供应商的所有者和所在地？ 回复人：供应商

供应商是否使用威胁情景来指导对下级供应商的评审？ 回应者：供应商

供应商是否有追踪零件编号到制造商的文件？ 回应者：供应商

供应商能否提供一份他们采购硬件和软件的供应商名单，这些硬件和软件用于合同履行？ 回复方：供应商

供应商是否有防伪控制措施？ 回复人：供应商

供应商是否保护可能通过与其他供应商的互动而暴露的关键项目信息？ 回应者：供应商

供应商是否进行审核和检查，并具备防范或避免假冒设备、篡改的硬件/软件（HW/SW）、易受攻击的硬件/软件以及/或操作安全泄漏的措施？ 由供应商提供的回复

供应商在购买软件时是否使用行业标准基线（例如 CIS、NES）？ 回应者：供应商

供应商是否遵守监管和法律规定？ 回复提供者：供应商

供应商是否有在部署后进行安全维护和升级的程序？ 答复方：供应商

供应商是否有明确的政策和程序，以帮助尽量降低供应链风险，包括子公司采购需求？ 回应者：供应商

供应商是否定义和管理系统关键性及能力？ 回应者：供应商

与采购相关的所有人员（例如供应商、C-SCRM PMO）是否都了解目标供应链潜在的威胁和风险？ 回应者：供应商

所有参与人员的国籍是什么？如有要求，所有参与人员都是美国公民吗？ 回复提供者：供应商

供应商是否已建立“内部威胁”控制措施？ 回应者：供应商

供应商是否核实并监督所有与相关产品、系统或服务接触的人员，以了解他们是否构成威胁？ 回应提供者：供应商

供应商是否在产品、系统或服务的整个生命周期中使用、记录并跟踪风险缓解活动？ 回复提供者：供应商

供应商的所有人员是否都已签署保密协议？ 回复方：供应商

供应商是否允许其人员或供应商远程访问环境？ 回应者：供应商

供应商是否有记录的跟踪和版本控制？ 回应者：供应商

供应商是否分析可能中断其供应链的事件（环境或人为因素）？ 回应者：供应商

供应商完成的零件是否受到控制，以确保它们从不被单独放置或暴露于篡改风险？ 回复人：供应商

供应商完成的零件是否已被锁定？ 回复提供者：供应商

供应商在从其供应商订购库存时是否有确保完整性的流程？ 回复提供者：供应商

供应商的库存是否会定期检查是否有暴露或被篡改的情况？ 由供应商提供的答复

供应商是否有针对从其供应商采购的未使用和报废零件的安全材料销毁程序？ 供应商提供的回复

产品和系统部署是否有记录在案的监管链？ 回复者：供应商

供应商是否熟悉将参与产品/系统设计的所有供应商？ 回复提供者：供应商和制造商

供应商是否将其软件开发生命周期（SDLC）与安全软件开发标准（例如，微软安全开发生命周期）对齐？ 回应提供者：供应商和制造商

供应商是否在本地进行所有开发？ 回复提供者：供应商和制造商

只有美国公民才能访问开发环境吗？ 供应商和制造商提供的回答

供应商是否为其开发人员提供网络安全培训？ 回应者：供应商和制造商

供应商是否使用可靠的软件开发工具？ 回复提供者：供应商和制造商

供应商是否使用可靠的信息保障控制来保护开发环境（例如，安全的网络配置、严格的访问控制、动态/静态漏洞管理工具、渗透测试）？ 由供应商和制造商提供的回复

供应商在使用前会验证开源软件吗？ 回答由：供应商和制造商提供

供应商的软件编译器是否持续受到监控？ 回应者：供应商和制造商

供应商是否具有成文的软件测试和配置标准？ 由供应商和制造商提供的答复

产品或服务制造商名称 回复提供者：制造商

产品类型（即硬件、软件、服务） 制造商 回复提供者：制造商

产品或服务制造商的描述 回应提供者：制造商

零件编号（如适用） 厂家 回复提供者：厂家

制造商是否实施正式的企业角色和治理，负责在产品开发或制造过程中执行和监督安全工程？ 回答者：制造商

制造商是否有符合 ISO 27036 或 SAE AS6171 等标准的产品完整性流程？ 回答者：制造商

该产品是否符合联邦信息处理标准 (FIPS) 140-2？如果符合，请提供 FIPS 等级。 回复方：制造商

制造商是否记录并传达您的硬件、软件或解决方案产品的安全控制要求？ 回复者：制造商

在过去一年中，制造商是否因交付产品或服务而收到任何政府机构或监管部门的罚款或制裁？如果有，请说明。 回复者：制造商

制造商在过去一年中是否因产品或服务的交付而经历过诉讼索赔？如果有，请描述。 回答者：制造商

制造商是否为产品、服务或组件提供物料清单（BOM），包括所有具有逻辑功能的硬件、固件和软件（例如，可读、可写、可编程）？ 由制造商提供的回复

对于产品或服务中包含的硬件组件，供应商是否仅从原始设备制造商或授权经销商处购买？ 回答者：供应商

制造商是否有政策或流程，以确保您的任何供应商或第三方组件不在任何禁止名单上？ 回复者：制造商

制造商如何防止其产品或解决方案中出现恶意和/或假冒的知识产权组件？ 答复提供者：制造商

制造商是否管理其产品或服务提供中的知识产权完整性？ 回答者：制造商

制造商如何评估、优先处理并修复报告的产品或服务漏洞？ 制造商提供的回应

制造商如何确保产品或服务的漏洞在及时的时间内得到修复，以减少攻击者的可乘之机？ 回答者：制造商

制造商是否维护和管理产品安全事件报告与响应程序（PSRT）？ 制造商提供的回应

制造商用于确保在其产品或服务受到影响时，客户和外部机构（如政府机构）能够收到事件通知的流程是什么？ 回应者：制造商