มีความพยายามที่เกี่ยวข้องกับการรักษาความปลอดภัยห่วงโซ่อุปทานที่แตกต่างกันมากกว่า 30 วิธีที่ดำเนินการทั่วทั้งรัฐบาลมีเรื่องใหญ่ๆ ที่คุณรู้จัก เช่น โครงการริเริ่ม Cybersecurity Maturity Model Certification (CMMC) ของกระทรวงกลาโหม และ National Institute of Standards and Technology’s Special Publication 800-161 update
มีทางม้าลายที่เล็กกว่าเช่นทางม้าลายของ NASA SEWP
ระหว่าง 800-161 และ Open Trusted Technology Provider Standard จาก Open Group ฝ่ายบริหารบริการทั่วไปยังได้ออกกลยุทธ์การจัดการความเสี่ยงด้านห่วงโซ่อุปทานทางไซเบอร์อย่างเงียบ ๆ ในเดือนมีนาคมที่เพิ่งเห็นแสงสว่างเมื่อประมาณเดือนที่แล้ว
โดยพื้นฐานแล้ว ความพยายามในการรักษาความปลอดภัยของห่วงโซ่อุปทานที่เพิ่มมากขึ้นมีศักยภาพที่จะสร้างความหายนะให้กับอุตสาหกรรมและหน่วยงานต่างๆ
ข้อมูลเชิงลึกโดย Hypori: ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ ผู้ดำเนินรายการ Jared Serbu จะหารือเกี่ยวกับกลยุทธ์การปรับให้ทันสมัยทางดิจิทัลกับ DoD และผู้เชี่ยวชาญในอุตสาหกรรม
John Miller รองประธานอาวุโสฝ่ายนโยบายและที่ปรึกษาทั่วไปของ Information Technology Industry Council และเป็นสมาชิกของ Information and Communications Technology (ICT) Supply Chain Risk Management (SCRM) Task Force ซึ่งสนับสนุนโดย National Risk Management Center (NRMC) ในCybersecurity and Infrastructure Agencyใน Homeland Security Department กล่าวว่าจุดเปลี่ยนใกล้เข้ามาแล้ว
“หากเราจะทำให้นโยบายนี้ถูกต้อง เราจำเป็นต้องมีความพยายามทั้งหมดที่มีการประสานงานและองค์รวม สิ่งนี้จะสร้างนโยบายที่ดีขึ้นและทำให้บริษัทต่างๆ ปฏิบัติตามได้ง่ายขึ้น” มิลเลอร์กล่าวในงานที่ได้รับการสนับสนุนจากศูนย์นโยบายและกฎหมายความปลอดภัยทางไซเบอร์และ NIST เมื่อต้นเดือนสิงหาคม
องค์กรเดียวที่สามารถนำความพยายามทั้งหมดนี้
มาอยู่ภายใต้ร่มเงาเดียวได้โผล่ออกมาจากหลังม่านพ่อมดแห่งออซ
กฎสุดท้าย 44 หน้าที่มีการเปลี่ยนแปลงเล็กน้อย
Federal Acquisition Security Council (FASC) ได้สรุปกระบวนการ ขั้นตอน และแนวทางปฏิบัติโดยออกกฎขั้นสุดท้ายเมื่อวันที่ 26 สิงหาคม
FASC ซึ่งสภาคองเกรสสร้างขึ้นโดยเป็นส่วนหนึ่งของพระราชบัญญัติเทคโนโลยีความปลอดภัยได้ออกกฎขั้นสุดท้ายชั่วคราวเมื่อเดือนกันยายนปีที่แล้ว จัดทำโครงสร้างว่าสภาจะดูแลกระบวนการ แนวทางปฏิบัติ และขั้นตอนการจัดการความเสี่ยงของห่วงโซ่อุปทานอย่างไร
สภามีการเปลี่ยนแปลงเพียงเล็กน้อยในกฎขั้นสุดท้าย โดยเน้นไปที่ด้านเทคนิค โครงสร้าง และส่วนย่อยอื่นๆ เป็นหลัก เพื่อช่วยชี้แจงและ/หรือลดความซับซ้อนของกฎ 44 หน้า
มีเพียงหกหน่วยงานเท่านั้นที่ส่งความคิดเห็นและมีเพียงไม่กี่แห่งที่นำไปสู่การเปลี่ยนแปลงแม้แต่น้อยในสองส่วนย่อยหลัก
ส่วนหนึ่งกำหนดบทบาทของหน่วยงานแบ่งปันข้อมูล (ISA) ของ FASC กฎขั้นสุดท้ายให้หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของแผนกความมั่นคงแห่งมาตุภูมิรับผิดชอบ ผ่าน ISA FASC จะทำงานร่วมกับ CISA เพื่อสร้างมาตรฐาน “กระบวนการและขั้นตอนในการส่งและเผยแพร่ข้อมูลห่วงโซ่อุปทาน และอำนวยความสะดวกในการปฏิบัติงานของหน่วยงานด้านการจัดการความเสี่ยงด้านห่วงโซ่อุปทาน (SCRM) ภายใต้ FASC คณะทำงานของ FASC นี้ประกอบด้วยผู้เชี่ยวชาญทางเทคนิคที่ได้รับมอบหมายซึ่งช่วยเหลือ FASC ในการดำเนินการแบ่งปันข้อมูล การวิเคราะห์ความเสี่ยง และการประเมินความเสี่ยง”
อ่านเพิ่มเติม: สมุดบันทึกของนักข่าว
นอกจากนี้ยังกำหนดเกณฑ์การแบ่งปันข้อมูลที่จำเป็นและโดยสมัครใจและข้อกำหนดในการคุ้มครองข้อมูลที่เกี่ยวข้อง
ส่วนย่อยอื่นๆ สรุปขั้นตอนของ FASC เพื่อประเมินความเสี่ยงด้านซัพพลายเชนที่เกิดจากบริษัทหรือผลิตภัณฑ์ นอกจากนี้ยังอธิบายถึงวิธีที่สภาจะเสนอแนะต่อ DHS กระทรวงกลาโหม และสำนักงานผู้อำนวยการข่าวกรองแห่งชาติว่าหน่วยงานหลักทั้งสามออกคำสั่งให้นำผลิตภัณฑ์หรือบริการออกหรือแยกบริษัทใดบริษัทหนึ่งออกจากการจัดซื้อจัดจ้างในอนาคต ส่วนนี้ยังให้รายละเอียดขั้นตอนการออกคำสั่งให้ลบและคำสั่งยกเว้น ตลอดจนคำขอของหน่วยงานสำหรับการสละสิทธิ์
