6.3 風險評估

6.3.1總體考慮

背景分析后組織能夠開展風險評估，對ICT供應鏈所面臨的安全風險進行風險識別（6.2.1）、風險分析（6.2.2）和風險評價（6.2.3）。風險評估可多次迭代直至結果滿足要求。

6.3.2風險識別

6.3.2.1資產識別

組織宜識別ICT供應鏈的關鍵資產，此類資產對組織的業務功能有直接影響，一旦被禁用或受損，可能導致組織的產品或服務失效或質量下降。宜考慮以下因素以識別關鍵資產：
組織的關鍵業務；
對業務至關重要的系統、組件（硬件、軟件和固件）和流程；
依賴性分析和評估，確定可能需要在系統架構中進行加固的組件；
關鍵系統、組件、信息的獲取和審核，例如其制造或開發位置、物理和邏輯交付路徑、與關鍵組件相關的信息流等；
將已識別的關鍵組件與ICT供應鏈信息、歷史數據和系統開發生命周期相關聯，以確認ICT供應鏈關鍵路徑；
關鍵功能依賴的功能，如軟件補丁使用的數字簽名技術等；
對所有接入點的確認，識別并限制對關鍵功能、組件的直接訪問（如最小特權執行）；

6.3.2.2 威脅識別

ICT供應鏈安全威脅可能是對ICT供應鏈直接或間接的攻擊，也可能是偶發的或意外的安全事件。ICT供應鏈安全威脅可以通過來源、類型等屬性來描述。

a）威脅來源識別

ICT供應鏈安全威脅如表1所示，主要來源于環境因素、供應鏈攻擊和人工錯誤。其中，環境因素是由環境原因造成的供應鏈安全問題。供應鏈攻擊是攻擊者通過供應鏈發起的網絡或物理攻擊。供應鏈的設計、開發、生產、交付、運維、報廢等任意環節都可能遭受此類攻擊。人工錯誤，是指由于內部人員、供應商人員、外包人員安全意識不足，沒有遵循供應鏈安全規章制度和操作流程而導致的安全問題。

表1 ICT供應鏈安全威脅來源列表

b）威脅類型識別

組織宜識別ICT供應鏈可能面臨的安全威脅類型，表2給出了典型的ICT供應鏈安全威脅類型，主要包括：惡意篡改、假冒偽劣、供應中斷、信息泄露、違規操作和其他威脅。威脅類型的更多信息參見附錄B。

表2 ICT供應鏈安全威脅類型列表

6.3.2.3 脆弱性識別

ICT供應鏈脆弱性是在產品或服務的設計、開發、生產、交付、運維、報廢等任意供應鏈環節能被威脅利用的缺陷。脆弱性是資產本身的特性，僅被威脅利用時會產生危害，沒有相應威脅時可能不需要實施控制措施，但宜關注和監視其變化。
ICT供應鏈脆弱性既包括產品或服務在其生命周期內的脆弱性，也包括ICT供應鏈脆弱性。ICT供應鏈脆弱性可能存在于：
?產品或服務生命周期中的系統或組件；
?直接影響系統生命周期的開發和運維環境；
?運輸ICT產品或組件的物流和交付環境，包括邏輯或物理的。

表3 ICT供應鏈脆弱性

6.3.2.4 現有安全措施識別

組織宜識別ICT供應鏈現有或已計劃的安全措施，并對安全措施的有效性進行確認。
宜考慮以下活動以實現現有或計劃的安全措施識別：
?檢查ICT供應鏈安全措施相關的制度文件，了解計劃采取哪些安全措施；
?訪談組織的信息安全人員和供應鏈管理人員，了解實際采取了哪些安全措施；
?現場核查驗證已采取的ICT供應鏈安全措施，確認安全措施是否在正確和有效地工作；

6.3.3 風險分析

風險分析包括可能性分析、后果分析和風險估算。
可能性是威脅利用脆弱性導致安全事件發生的概率。可能性分析應從兩個角度進行，一是ICT供應鏈本身受到損害的可能性，例如可能影響關鍵組件使用或增加知識產權被竊取風險；二是供應鏈內的產品、服務、系統或組件受到損害的可能性，例如系統被植入惡意代碼或組件被電擊損壞。
后果分析針對已識別的ICT供應鏈安全事件，分析事件的潛在影響。組織宜從資產的重要性，引發安全事件的威脅來源的特征，已識別的脆弱性，現有或已計劃安全措施反映出的組織對事件的敏感性等方面進行后果分析。
風險估算為ICT供應鏈安全風險的可能性和后果賦值，風險估算應基于可能性分析和后果分析的結論進行。

6.3.4 風險評價

風險評價將風險估算結果與風險評價準則和風險接受準則比較，輸出依據風險評價準則按優先順序排列的風險列表。風險識別和分析中得到的后果、可能性也宜被用于風險評價活動。需要注意的是多個中低風險的聚合可能導致更高的整體風險。