NIST SP 800-161 修订版 1 更新 1 网络安全供应链风险管理 Rev.1 Update 1
控制项模式从官方机器可读工作簿中提取的 NIST SP 800-161 Rev.1 更新 1 C-SCRM 评估范围问卷(表 26)。
你是否已经识别了供应商的关键供应商?供应商你是否核实了供应商的所有权,是外国还是国内? 回复提供者:供应商
如果供应商使用分销商,您是否调查过他们的潜在风险? 回应方:供应商
供应商是否位于美国? 回复者:供应商
供应商是否与任何外国政府有人员和/或专业关系(包括其高级职员、董事或类似官员、员工、顾问或承包商)? 回复提供者:供应商
供应商或供应链中涉及的任何商业实体是否存在外国所有权、控制或影响(FOCI)?如果存在,该外国所有权、控制或影响是否来自美国敌对国或关注国家? 回答者:供应商
供应商设有总部、研发、生产、测试、包装、分销或服务设施或其他业务的任何外国的法律法规是否要求向该外国共享技术或数据? 由供应商提供的回复
供应商是否已声明将从何处购买替换组件? 回复人:供应商
是否已经识别并验证了所有供应商、分包商和次级供应商的所有者和所在地? 回复人:供应商
供应商是否使用威胁情景来指导对下级供应商的评审? 回应者:供应商
供应商是否有追踪零件编号到制造商的文件? 回应者:供应商
供应商能否提供一份他们采购硬件和软件的供应商名单,这些硬件和软件用于合同履行? 回复方:供应商
供应商是否有防伪控制措施? 回复人:供应商
供应商是否保护可能通过与其他供应商的互动而暴露的关键项目信息? 回应者:供应商
供应商是否进行审核和检查,并具备防范或避免假冒设备、篡改的硬件/软件(HW/SW)、易受攻击的硬件/软件以及/或操作安全泄漏的措施? 由供应商提供的回复
供应商在购买软件时是否使用行业标准基线(例如 CIS、NES)? 回应者:供应商
供应商是否遵守监管和法律规定? 回复提供者:供应商
供应商是否有在部署后进行安全维护和升级的程序? 答复方:供应商