CISO助手
完成度
0%(0/88)
评估报告
NIST

NIST SP 800-161 修订版 1 更新 1 网络安全供应链风险管理 Rev.1 Update 1

控制项模式

从官方机器可读工作簿中提取的 NIST SP 800-161 Rev.1 更新 1 C-SCRM 评估范围问卷(表 26)。

版本: Rev.1 Update 1覆盖状态: 完整覆盖 (88/88)控制项/量表/总计: 88/0/88当前展示: 19 / 887 个分类
T26.S7.1产品或服务制造商名称控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

产品或服务制造商名称 回复提供者:制造商

评估
评估状态:
评估备注:
T26.S7.2产品类型(例如:硬件、软件、服务) 制造商控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

产品类型(即硬件、软件、服务) 制造商 回复提供者:制造商

评估
评估状态:
评估备注:
T26.S7.3产品或服务制造商描述控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

产品或服务制造商的描述 回应提供者:制造商

评估
评估状态:
评估备注:
T26.S7.4部件编号(如适用) 生产厂家控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

零件编号(如适用) 厂家 回复提供者:厂家

评估
评估状态:
评估备注:
T26.S7.5制造商是否实施了正式的企业角色和治理,负责在产品开发或制造过程中执行和监督安全工程?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商是否实施正式的企业角色和治理,负责在产品开发或制造过程中执行和监督安全工程? 回答者:制造商

评估
评估状态:
评估备注:
T26.S7.6制造商是否有符合 ISO 27036 或 SAE AS6171 等标准的产品完整性流程?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商是否有符合 ISO 27036 或 SAE AS6171 等标准的产品完整性流程? 回答者:制造商

评估
评估状态:
评估备注:
T26.S7.7该产品是否符合联邦信息处理标准(FIPS)140-2?如果符合,请提供FIPS级别。控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

该产品是否符合联邦信息处理标准 (FIPS) 140-2?如果符合,请提供 FIPS 等级。 回复方:制造商

评估
评估状态:
评估备注:
T26.S7.8制造商是否为您的硬件、软件或解决方案提供文档并传达安全控制要求?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商是否记录并传达您的硬件、软件或解决方案产品的安全控制要求? 回复者:制造商

评估
评估状态:
评估备注:
T26.S7.9过去一年内,制造商是否因产品或服务的交付而收到任何政府机构或监管机构的罚款或制裁?如果有,请说明。控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

在过去一年中,制造商是否因交付产品或服务而收到任何政府机构或监管部门的罚款或制裁?如果有,请说明。 回复者:制造商

评估
评估状态:
评估备注:
T26.S7.10过去一年中,该制造商是否因产品或服务的交付而经历过诉讼索赔?如果有,请描述情况。控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商在过去一年中是否因产品或服务的交付而经历过诉讼索赔?如果有,请描述。 回答者:制造商

评估
评估状态:
评估备注:
T26.S7.11制造商是否为产品、服务或组件提供物料清单(BOM),包括所有含有逻辑功能的硬件、固件和软件(例如,可读、可写、可编程)?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商是否为产品、服务或组件提供物料清单(BOM),包括所有具有逻辑功能的硬件、固件和软件(例如,可读、可写、可编程)? 由制造商提供的回复

评估
评估状态:
评估备注:
T26.S7.12对于产品或服务中包含的硬件组件,供应商是否只从原始设备制造商或授权经销商处采购?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

对于产品或服务中包含的硬件组件,供应商是否仅从原始设备制造商或授权经销商处购买? 回答者:供应商

评估
评估状态:
评估备注:
T26.S7.13制造商是否有政策或流程,以确保您的供应商或第三方组件不在任何禁用名单上?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商是否有政策或流程,以确保您的任何供应商或第三方组件不在任何禁止名单上? 回复者:制造商

评估
评估状态:
评估备注:
T26.S7.14制造商如何防止其产品或解决方案中出现恶意和/或伪造的知识产权组件?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商如何防止其产品或解决方案中出现恶意和/或假冒的知识产权组件? 答复提供者:制造商

评估
评估状态:
评估备注:
T26.S7.15制造商是否管理其产品或服务提供的知识产权完整性?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商是否管理其产品或服务提供中的知识产权完整性? 回答者:制造商

评估
评估状态:
评估备注:
T26.S7.16制造商如何评估、优先处理并修复报告的产品或服务漏洞?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商如何评估、优先处理并修复报告的产品或服务漏洞? 制造商提供的回应

评估
评估状态:
评估备注:
T26.S7.17制造商如何确保及时修复产品或服务的漏洞,以减少攻击者利用的时间窗口?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商如何确保产品或服务的漏洞在及时的时间内得到修复,以减少攻击者的可乘之机? 回答者:制造商

评估
评估状态:
评估备注:
T26.S7.18制造商是否维护和管理产品安全事件报告与响应程序(PSRT)?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商是否维护和管理产品安全事件报告与响应程序(PSRT)? 制造商提供的回应

评估
评估状态:
评估备注:
T26.S7.19制造商的流程是什么,以确保当其产品或服务受到影响时,客户和外部机构(如政府机构)能够收到事件通知?控制项
第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷) / 第7节:产品或服务特定安全(如适用,每个产品或服务填写一份问卷)

制造商用于确保在其产品或服务受到影响时,客户和外部机构(如政府机构)能够收到事件通知的流程是什么? 回应者:制造商

评估
评估状态:
评估备注: