6.1 概述

ICT供應鏈安全風險管理過程由背景分析（6.1）、風險評估（6.2）、風險處置（6.3）、風險監督和檢查（6.4）、風險溝通和記錄（6.5）五個步驟組成，如圖1所示。組織宜在滿足GB/T 31722規定的組織信息安全風險管理要求的基礎上，按照圖1所示建立ICT供應鏈風險管理過程，但考慮到組織實際情況，也可將ICT供應鏈安全風險管理分散到對ICT供應鏈生命周期各環節、ICT供應鏈基礎設施、外部供應商的風險管理。

圖1 ICT供應鏈安全風險管理過程