NIST SP 800-161 修订版 1 更新 1 网络安全供应链风险管理 Rev.1 Update 1
控制项模式从官方机器可读工作簿中提取的 NIST SP 800-161 Rev.1 更新 1 C-SCRM 评估范围问卷(表 26)。
贵企业消耗了该供应商该产品/服务销售额的百分之多少? 回复提供者:收购方或供应商
该产品或服务在您的企业中目前的使用范围如何,或未来将会有多广泛? 回应者:收购方
该产品/服务是否在根据其主要运营区域被认为对贵企业存在地缘政治风险的地理位置制造(例如,美国)? 回复提供者:收购方或供应商
该产品是否在被认定为外国对手或特别关注国家的国家制造或开发? 回应者:收购方
更换此产品或服务的供应商是否会对贵企业造成显著的成本或工作量? 回复者:收购方
贵公司是否已经与其他供应商就此产品/服务建立了合作关系? 回答者:采购方
贵企业对于能够在重大供应链中断(无论是人为还是自然因素)情况下获得优质产品/服务有多大信心? 回应者:收购方
贵企业是否保有该产品或服务的库存? 回答者:收购方
该产品/服务是否适合其用途?(即是否能够达到目标或服务水平) 由:采购方提供的回复
该产品/服务是否执行基本的安全功能?如果是,请描述。 回应者:收购方
该产品/服务是否具有对IT网络、OT系统或敏感平台的根访问权限? 回复者:收购方
产品/服务的妥协会导致系统故障或严重降级吗? 回应者:收购方
在发生导致系统故障或严重性能下降的安全事件时,是否存在已知的独立可靠的缓解措施? 回答者:收购方
该产品/服务是否会连接到贵企业提供给客户的平台? 回应者:收购方
该产品/服务是否会传输、生成、维护或处理高价值数据(例如个人身份信息、受保护的健康信息、支付卡信息)? 响应方:收购方
该产品/服务是否会或是否能够访问传输、生成、维护或处理高价值数据(例如,个人识别信息、受保护健康信息、支付卡信息)的系统? 回答者:收购方
由于提供该产品/服务,供应商是否需要或曾经需要实际进入公司的设施? 回复人:收购方
基于对上述回答的整体考量,这款产品/服务对贵企业的重要性如何(即:关键、高、一般、低)? 回答者:收购方