NIST
NIST SP 800-161 修订版 1 更新 1 网络安全供应链风险管理 Rev.1 Update 1
控制项模式从官方机器可读工作簿中提取的 NIST SP 800-161 Rev.1 更新 1 C-SCRM 评估范围问卷(表 26)。
版本: Rev.1 Update 1•覆盖状态: 完整覆盖 (88/88)•控制项/量表/总计: 88/0/88•当前展示: 10 / 88•7 个分类
T26.S6.1供应商是否熟悉所有将参与产品/系统设计的供应商?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
供应商是否熟悉将参与产品/系统设计的所有供应商? 回复提供者:供应商和制造商
评估
评估状态:
评估备注:
T26.S6.2供应商是否将其软件开发生命周期(SDLC)与安全软件开发标准(例如 Microsoft 安全开发生命周期)保持一致?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
供应商是否将其软件开发生命周期(SDLC)与安全软件开发标准(例如,微软安全开发生命周期)对齐? 回应提供者:供应商和制造商
评估
评估状态:
评估备注:
T26.S6.3供应商是否在本土完成所有开发?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
供应商是否在本地进行所有开发? 回复提供者:供应商和制造商
评估
评估状态:
评估备注:
T26.S6.4只有美国公民才能访问开发环境吗?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
只有美国公民才能访问开发环境吗? 供应商和制造商提供的回答
评估
评估状态:
评估备注:
T26.S6.5供应商是否为其开发人员提供网络安全培训?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
供应商是否为其开发人员提供网络安全培训? 回应者:供应商和制造商
评估
评估状态:
评估备注:
T26.S6.6供应商是否使用可靠的软件开发工具?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
供应商是否使用可靠的软件开发工具? 回复提供者:供应商和制造商
评估
评估状态:
评估备注:
T26.S6.7供应商是否使用可信的信息保障控制来保护开发环境(例如,安全的网络配置、严格的访问控制、动态/静态漏洞管理工具、渗透测试)?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
供应商是否使用可靠的信息保障控制来保护开发环境(例如,安全的网络配置、严格的访问控制、动态/静态漏洞管理工具、渗透测试)? 由供应商和制造商提供的回复
评估
评估状态:
评估备注:
T26.S6.8供应商在使用开源软件之前会进行验证吗?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
供应商在使用前会验证开源软件吗? 回答由:供应商和制造商提供
评估
评估状态:
评估备注:
T26.S6.9供应商的软件编译器是否持续受到监控?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
供应商的软件编译器是否持续受到监控? 回应者:供应商和制造商
评估
评估状态:
评估备注:
T26.S6.10供应商是否有成文的软件测试和配置标准?控制项
第6节:软件设计与开发(如适用) / 第6节:软件设计与开发(如适用)
供应商是否具有成文的软件测试和配置标准? 由供应商和制造商提供的答复
评估
评估状态:
评估备注: