随着信息与通信技术（ICT）的快速发展及深入应用，各行业对ICT产品及服务的依赖加重。ICT产品服务全球化进程推动形成了ICT供应链全球化格局，基于ICT供应链全球化及复杂性特征，ICT供应链安全管控越来越难。

  我国从政策法规标准等方面制定了一系列的要求，但从目前对国内从事ICT产品制造等企业能力评估情况去看，在供应链安全风险管理方面还比较薄弱。

  ISO 28000：2007《供应链安全管理体系规范》标准中将“供应链”定义为从原材料采购开始直到通过种种运输模式将产品或服务传递给最终使用者的一系列过程和资源构成的网络。

  目前，国际供应链安全标准已渐成体系，而国内供应链安全要求大多分散在多个标准中。

  标准适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理，也适用于指导ICT产品和服务的供方和需方加强供应链安全管理，同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考。

  标准术语中将ICT供应链定义为ICT产品和服务的供应链，是指为满足供应关系，通过资源和过程将需方、供方相互链接的网链结构，可用于将ICT的产品和服务提供给需方。在标准附录A中对ICT供应链结构做了进一步说明（如图1）。

  ICT供应链是一个全球分布的，具有供应商多样性、产品服务复杂性、全生命周期覆盖性等多维特点的复杂系统。相比传统供应链，ICT供应链面临更多的安全风险，宜加强风险管理。其重点实现目标包括完整性、保密性、可用性、可控性。

  另外，建议组织结合自己真实的情况，对于经济性、绿色供应链、稳定供应链等做适当考虑。

  ICT供应链安全风险管理过程由背景分析、风险评估、风险处置、风险监督和检查、风险沟通和记录等5个步骤组成（见图2）。组织宜按照GB/T 31722-2015的规定建立ICT供应链风险管理过程，也可将ICT供应链安全风险管理分散到对ICT供应链生命周期各环节、ICT供应链基础设施、外部供应商的风险管理活动中。

  供应链安全风险管理是指导和控制组织与供应链安全风险有关问题的协调活动。ICT供应链安全风险管理是组织整体风险管理的组成部分，组织在做背景分析时宜结合真实的情况建立ICT供应链安全风险管理的背景，包括基本准则、范围边界和风险约束等。

  接下来，从可能性、后果、风险估算等几方面分析风险，然后根据风险分析估算结果、评价准则和接受准则比较等进行风险评价，再根据评估结果选择风险处置策略。而在风险管理整一个完整的过程的中，都要设置监督和检查点并及时沟通和记录相关信息。

  其中，技术安全措施包括物理与环境安全、系统与通信安全、访问控制、标识与鉴别、供应链完整性保护、可追溯性等。管理安全措施包括制度和人员管理、供应链生命周期管理、采购外包与供应商管理等。

  通常情况下，安全风险管理也需要多次迭代直至结果满足规定的要求。建议组织将ICT供应链安全风险管理工作流程纳入组织常设的管理架构及工作流程中，以利于做到持续管理和迭代，并保留有关安全风险管理过程的相关文件和记录等。

  组织在与已有管理体系融合的过程中，也可考虑借鉴NIST SP 800-161 r1《系统和组织网络安全供应链风险管理实践》报告中提出的由三层管理框架整合企业所有安全风险管理，即由企业层面、业务层面和操作层面无缝配合和有效沟通，共同解决安全风险（如图3示）。

  首先是在企业层面，制定企业网络安全供应链风险管理顶层战略、实施计划，明确治理结构和操作模式，为如何管理风险制定原则，并指导下一层级执行风险管理，其参与者通常为企业的高层领导。

  其次是在业务层面，在企业的顶层设计下，依据业务详细情况制定业务层级的网络供应链风险管理（C-SCRM）战略、政策和实施计划，减少新项目的初始漏洞，审查评估业务面临的威胁，管理业务层级的风险，向上一层级报告相关情况，并指导下一层级执行风险管理，其参与者通常为负责项目规划和管理的中层领导。

  最后是在操作层面，依据业务层级制定的战略、计划，实施C-SCRM计划，确保业务、功能和技术满足第1层、第2层级制定的要求，其参与者通常为系统架构师、研发人员等具体操作人员。

  同时，可考虑运用多种信息化管理手段，建立一套敏捷、高效的供应链安全保障体系，并研究建设一整套科学的供应链安全风险量化指标体系，以全面提升企业供应链安全保障数字化管理水平。

  随着大国博弈日益激烈，先进的技术产业竞争态势加剧，供应链安全已上升至国家安全战略，有效规范和保护ICT供应链安全已成为网络相关安全的重中之重。本文在分析供应链与ICT安全风险的关系的基础上，提出基于GB/T 36637的ICT供应链视角的安全风险管理体系构建以及与组织现有管理体系融合的思考，为ICT供应链企业更好地开展ICT供应链安全风险管理提供了思路，同时也为深入研究ICT供应链安全管理及评估技术提供了依据。