美國(guó)建立SCRM國(guó)家戰(zhàn)略和協(xié)調(diào)機(jī)制

有效的供應(yīng)鏈風(fēng)險(xiǎn)管理SCRM應(yīng)能夠預(yù)測(cè)供應(yīng)鏈的未來(lái)發(fā)展，識(shí)別供應(yīng)鏈面臨的潛在威脅，減輕或解決供應(yīng)鏈未來(lái)可能面臨的威脅。那么美國(guó)政府是如何管理與中國(guó)制造的產(chǎn)品和服務(wù)以及中國(guó)公司參與其ICT供應(yīng)鏈相關(guān)風(fēng)險(xiǎn)的呢?美國(guó)擬實(shí)施的ICT供應(yīng)鏈風(fēng)險(xiǎn)的***管理方法有以下五種:

(1)采用自適應(yīng)SCRM流程。美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)一直制定高質(zhì)量、可實(shí)施的標(biāo)準(zhǔn)，以改善供應(yīng)鏈安全和信通技術(shù)系統(tǒng)的網(wǎng)絡(luò)安全，但NIST開(kāi)發(fā)的供應(yīng)鏈控制僅適用于具有“顯著影響”(high- impact)的美國(guó)信息系統(tǒng)。決策者必須增強(qiáng)而不是阻礙NIST 等成功合作實(shí)體的努力，并在非保密的公共領(lǐng)域盡可能多地討論供應(yīng)鏈威脅。這些步驟將確保新的SCRM策略能夠自適應(yīng)、協(xié)作并獲得所有相關(guān)方的認(rèn)可。

(2)建立美國(guó)信通技術(shù)SCRM的集中領(lǐng)導(dǎo)。目前沒(méi)有統(tǒng)一的、整體的SCRM方法，大多數(shù)與SCRM相關(guān)的情報(bào)收集活動(dòng)都是以人為本而不是以技術(shù)為基礎(chǔ)，這使得聯(lián)邦SCRM計(jì)劃難以全面應(yīng)對(duì)全球威脅，也難以隨著需求的增加而擴(kuò)展。法律法規(guī)之間的沖突和混亂導(dǎo)致漏洞、重復(fù)勞動(dòng)和政策執(zhí)行不一致。

國(guó)會(huì)和行政部門(mén)應(yīng)鼓勵(lì)信息共享和鞏固美國(guó)SCRM領(lǐng)導(dǎo)，以?xún)?yōu)化收集和傳播工作。為SCRM的中央領(lǐng)導(dǎo)配備適當(dāng)?shù)馁Y源和人員，負(fù)責(zé)將進(jìn)入聯(lián)邦I(lǐng)T網(wǎng)絡(luò)的產(chǎn)品供應(yīng)商和增值轉(zhuǎn)銷(xiāo)商按規(guī)定的級(jí)別審查。管理和預(yù)算辦公室 (OMB)可以進(jìn)行SCRM的中央權(quán)利分配。SCRM中心將提供權(quán)威數(shù)據(jù)和持續(xù)監(jiān)測(cè)，減少對(duì)特定機(jī)構(gòu)SCRM的需求，并將重點(diǎn)放在特定配置和實(shí)施情況上。OMB需要在非保密的世界中運(yùn)作，同時(shí)與保密環(huán)境有直接聯(lián)系和追溯權(quán)，以確保其與已知威脅保持一致。

(3)將美國(guó)法規(guī)條例與撥款掛鉤。建議：1.擴(kuò)大Wolf條款，或《綜合和進(jìn)一步持續(xù)撥款法》的第515條，以適用于所有聯(lián)邦機(jī)構(gòu)和實(shí)體。2.利用年度報(bào)告為所有聯(lián)邦政府實(shí)體建立一個(gè)“***實(shí)踐庫(kù)”，提高信息共享和對(duì)不斷變化的風(fēng)險(xiǎn)的認(rèn)識(shí)。

(4)促進(jìn)供應(yīng)鏈透明度和與工業(yè)界伙伴關(guān)系。促進(jìn)聯(lián)邦信通技術(shù)提供商以及初級(jí)或一級(jí)供應(yīng)商的公開(kāi)上市，或至少向政府客戶披露這些信息。政府應(yīng)根據(jù)所需的風(fēng)險(xiǎn)管理嚴(yán)格程度推動(dòng)自身供應(yīng)鏈中的所有供應(yīng)商提高透明度。

(5)制定前瞻性政策。未來(lái)的風(fēng)險(xiǎn)將涉及軟件、基于云的基礎(chǔ)架構(gòu)和超融合產(chǎn)品。供應(yīng)商或制造商的業(yè)務(wù)聯(lián)盟、投資來(lái)源以及聯(lián)合研發(fā)也是風(fēng)險(xiǎn)的來(lái)源。識(shí)別這些風(fēng)險(xiǎn)并創(chuàng)造性地解決它們是SCRM適應(yīng)性方法的一部分。

對(duì)我國(guó)的啟示

[[250195]]

對(duì)中國(guó)來(lái)說(shuō)，可以從產(chǎn)業(yè)競(jìng)爭(zhēng)力、 國(guó)家大戰(zhàn)略和未來(lái)主導(dǎo)權(quán)三個(gè)角度來(lái)考慮：

(1)高度重視并提升我國(guó) ICT 產(chǎn)業(yè)自身供應(yīng)鏈安全等級(jí)

美國(guó)為了自身的政治經(jīng)濟(jì)利益和國(guó)家安全，將會(huì)進(jìn)一步提升產(chǎn)品供應(yīng)鏈的安全審查等級(jí)。但是這一審查并不保密，而且為了達(dá)到理想的效果，必須建立協(xié)作與信息共享機(jī)制。因此，中國(guó)的 ICT 產(chǎn)業(yè)供應(yīng)鏈商應(yīng)當(dāng)主動(dòng)提高自身的安全等級(jí)。另一方面，要高度重視并提升產(chǎn)品來(lái)抵御全球供應(yīng)鏈風(fēng)險(xiǎn)的能力，盡早建立起包括產(chǎn)品和行為體在內(nèi)的全周期、可追溯的風(fēng)險(xiǎn)檔案與風(fēng)險(xiǎn)管理預(yù)案機(jī)制。

(2)要立足我國(guó)國(guó)家戰(zhàn)略利益進(jìn)一步促進(jìn)全球供應(yīng)鏈與供應(yīng)鏈伙伴關(guān)系的透明化

一方面，需要依靠自身供應(yīng)鏈的追溯和管理以及與其他層級(jí)供應(yīng)鏈商和實(shí)體進(jìn)行配合;另一方面，可進(jìn)一步促進(jìn)全球 ICT 供應(yīng)鏈與供應(yīng)鏈伙伴關(guān)系的透明度提升，以此開(kāi)拓并擴(kuò)展我國(guó) ICT 產(chǎn)品的全球供應(yīng)鏈業(yè)務(wù)。

(3)提前關(guān)注來(lái)自軟件供應(yīng)鏈的風(fēng)險(xiǎn)管理并搶占規(guī)則制定主導(dǎo)權(quán)

中國(guó)應(yīng)當(dāng)提前布局，盡早建立一套自主研發(fā)用于監(jiān)測(cè)、識(shí)別、分析、儲(chǔ)存、 預(yù)警、治理的“未來(lái) ICT 供應(yīng)鏈風(fēng)險(xiǎn)管控體系”，搶占技術(shù)制高點(diǎn)與先機(jī)。這一系列的標(biāo)準(zhǔn)和規(guī)范形成體系之后，還可以尋求成為國(guó)際標(biāo)準(zhǔn)，占據(jù)未來(lái) ICT 供應(yīng)鏈上游的規(guī)則制定主導(dǎo)權(quán)。

[[250196]]

參考文獻(xiàn)：

[1] 美擬制定信息通信技術(shù)“供應(yīng)鏈風(fēng)險(xiǎn)管理國(guó)家戰(zhàn)略”以應(yīng)對(duì)來(lái)自中國(guó)的供應(yīng)鏈漏洞[EB/OL]. https://www.sohu.com/a/238092258_468736.

[2] Tara, Beeny, Senior, Business, Analyst, Interos, Solutions, Inc. Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology [M]. 美國(guó):Interos Solutions, 2018.

【本文為51CTO專(zhuān)欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文