软件供应链安全管理
在数字化转型的大背景下,软件开发组织采购了大量的第三方软件加快组织的数字化转型,随之而来的是软件供应链安全攻击事件地成倍增长,造成了越来越严重的危害。供应商软件产品的安全性对软件开发组织而言至关重要。 “软件供应链安全管理”主要是帮助企业建立正式的制度,管理软件供应链的安全风险,该子域的内容包括成立软件供应链安全风险管理委员会和建立正式的软件供应链安全管理制度。
软件供应链安全管理
- 成立软件供应链安全风险管理委员会
传统的供应链安全风险由采购团队执行管理,信息安全团队仅提供网络安全相关的要求,由于参与的角色相对较少,安全风险无法有效地管控。软件开发组织应成立供应链安全风险管理委员会,委员会的成员应来自不同的部门,确保供应链安全风险能够得到及时、有效的反馈和处理。
- 建立正式的软件供应链安全管理制度
软件开发组织与软件供应商合作时,应该保证软件供应商符合组织在安全和控制措施方面的要求。同时,在签订合同时应明确各自的权责、处罚和追责措施等。软件开发组织内部也应针对供应商制定相应的风险审查和缓解流程,确保在复杂的业务环境下影响组织业务的连续性内部可控。
S-SDLC CMM 模型现已发布,点击立即下载获取最新模型!
