保护受控未分类信息 Rev 3

对外部供应商的产品、系统和服务的依赖以及与这些供应商的关系性质，对组织构成了日益增加的风险。可能增加安全风险的威胁行为包括未经授权的生产、伪造品的插入或使用、篡改、供应链中的不良制造和开发行为、盗窃，以及恶意软件、固件和硬件的插入。供应链风险可能在系统、组件或服务中是普遍存在的或系统性的。管理供应链风险是一项复杂且多方面的工作，需要整个组织协调努力，以建立信任关系并与内部和外部利益相关者进行沟通。供应链风险管理（SCRM）活动包括识别和评估风险、确定适当的风险应对措施、制定记录应对措施的SCRM计划，以及根据计划监控绩效。系统级SCRM计划是针对具体实施的，并提供约束、政策执行、要求以及相关影响。它可以是独立存在的，也可以纳入系统安全计划中。供应链风险管理（SCRM）计划涉及SCRM要求的管理、实施和监控，以及系统在系统开发生命周期中的开发或维护，以支持任务和业务功能。由于供应链在不同组织及组织内部可能存在显著差异，供应链风险管理（SCRM）计划会根据具体的项目、组织和运营环境进行定制。

供应链要素包括用于系统及系统组件的研究、开发、设计、制造、采购、交付、集成、运营、维护和处置的组织、实体或工具。供应链流程包括硬件、软件、固件及系统开发流程；运输和搬运程序；物理安全计划；人员安全计划；配置管理工具、技术和措施以保持来源；或其他与系统及系统组件的开发、采购、维护和处置相关的计划、流程或程序。供应链元素和流程由组织、系统集成商或外部服务提供商提供。供应链元素或流程中的薄弱环节或不足可能成为潜在的漏洞，敌对方可能利用这些漏洞对组织造成伤害，并影响其执行核心任务或业务功能的能力。

对外部供应商的产品、系统和服务的依赖以及与这些供应商的关系性质，对组织构成了日益增加的风险。可能增加安全风险的威胁行为包括未经授权的生产、伪造品的插入或使用、篡改、供应链中的不良制造和开发行为、盗窃，以及恶意软件、固件和硬件的插入。供应链风险可能在系统、组件或服务中是普遍存在的或系统性的。管理供应链风险是一项复杂且多方面的工作，需要整个组织协调努力，以建立信任关系并与内部和外部利益相关者进行沟通。供应链风险管理（SCRM）活动包括识别和评估风险、确定适当的风险应对措施、制定记录应对措施的SCRM计划，以及根据计划监控绩效。系统级SCRM计划是针对具体实施的，并提供约束、政策执行、要求以及相关影响。它可以是独立存在的，也可以纳入系统安全计划中。供应链风险管理（SCRM）计划涉及SCRM要求的管理、实施和监控，以及系统在系统开发生命周期中的开发或维护，以支持任务和业务功能。由于供应链在不同组织及组织内部可能存在显著差异，供应链风险管理（SCRM）计划会根据具体的项目、组织和运营环境进行定制。