6.2 背景分析

CT供應鏈安全風險管理是組織整體風險管理的組成部分,組織宜結合實際情況建立ICT供應鏈安全風險管理的背景，包括基本準則、范圍邊界和風險約束等。其中，基本準則是ICT供應鏈安全風險管理需要遵循的準則，如風險評價準則、影響準則、風險接受準則等；范圍邊界宜明確供應鏈管理涉及的供應商、ICT供應鏈基礎設施、產品/服務/組件等；風險約束宜確定對執行ICT供應鏈安全風險管理活動需滿足的約束，包括組織約束和ICT供應鏈約束。

宜考慮以下因素以建立背景：

· 組織戰略、業務目標、職能架構；供應鏈

· 組織流程（安全方面、質量方面等）；

· 組織的整體風險管理方法、安全策略、信息安全方針；

· 基于組織戰略的ICT SCSRM業務目標、職能架構、組織流程、供應鏈結構；

· ICT SCSRM策略，包括但不限于購置、采購、信息安全、質量、物流等內容；

· 供應鏈內部和外部利益相關者及其價值觀和風險偏好；

· 供應商信息，包括資質、信用、支付能力、管理狀況、地理分布、合作歷史等；

· 供應鏈在資金、時間、人力、過程、系統和技術等方面的能力和約束；

· ICT供應鏈基礎設施、信息流和決策過程；

· 供應鏈管理的歷史數據；

· 適用的法律法規。