Tiêu chuẩn SCS 9001 bao gồm: 10 lĩnh vực bảo mật, 55 biện pháp kiểm soát và 07 quy trình bổ sung với các yêu cầu ( sBOM, kiến trúc Zero Trust, nguyên tắc tin cậy của nhà cung cấp, Quản lý sự cố và ứng phó…)
Nội dung bài viết
1.Sự ra đời của tiêu chuẩn SCS 9001
- Với sự phát triển của nền công nghiệp 4.0 lĩnh vực ICT dường như là sự dẫn đường cho mọi ngành công nghiệp khác. Tuy vậy ICT cũng phải đối mặt với thách thức về bảo mật thông tin trong chuỗi cung ứng.
- Vẫn được xây dựng dựa trên nền ISO 9001 và thừa hưởng những giá trị hữu ích của ISO 27001. SCS được nhóm 60 chuyên gia đến từ 34 tổ chức thuộc diễn đàn TIA QuEST phát triển tiêu chuẩn.
- Tháng 01 năm 2022 tiêu chuẩn được phát hành phiên bản đầu tiên với tên gọi: Tiêu chuẩn bảo mật chuỗi cung ứng dành cho ngành ICT.
2. Những điểm khác biệt chính của SCS 9001 so với ISO 27001
Sự khác biệt chính giữa SCS 9001 và ISO 27001 là các phép đo và điểm chuẩn bảo mật chuỗi cung ứng. Ngoài các yêu cầu và kiểm soát mà một tổ chức phải chứng minh đã thực hiện để đạt được chứng nhận, họ cũng phải gửi các phép đo hiệu suất bảo mật chuỗi cung ứng hàng quý vào kho lưu trữ an toàn của TIA. Dữ liệu được tổng hợp và báo cáo ẩn danh. Có nghĩa là, đối với mỗi phép đo cụ thể, dữ liệu xu hướng được hiển thị cho hiệu suất trung bình của ngành, tốt nhất và kém nhất trong nhóm.
Có một số yêu cầu khác, chẳng hạn như kiến trúc không tin cậy, truy xuất nguồn gốc phần mềm, chống hàng giả, quản lý chuỗi cung ứng và kiểm soát đám mây…
So sánh với ISO 27001
Chủ đề |
ISO 27001 |
SCS 9001 |
Tài sản |
Bao gồm nội dung thông tin |
Bao gồm tài sản thông tin, tài sản mạng, tài sản sản xuất, tài sản thiết kế và tài sản mạng |
Phân loại tài sản |
Có |
Có |
Đánh giá rủi ro |
Yêu cầu phương pháp lặp lại |
Yêu cầu đánh giá rủi ro ba yếu tố cho tất cả các tài sản. Sử dụng khả năng xảy ra, tác động và kiểm soát để tính toán rủi ro. |
Đánh giá rủi ro còn lại |
Có |
Có, nhưng yêu cầu ban giám đốc ký nếu rủi ro được xác định vượt quá khẩu vị rủi ro đã xác định |
Kiểm soát |
114 điều khiển trong 18 lĩnh vực mà tất cả đều phải được áp dụng |
55 kiểm soát trong 10 lĩnh vực, chỉ được áp dụng để giảm rủi ro. Một số biện pháp kiểm soát khác (có thể được áp dụng một cách chọn lọc) được chuyển đổi thành các yêu cầu của quá trình phải được thực hiện một cách có hệ thống |
DLC bảo mật |
Trình bày nhưng không đủ |
Các yêu cầu rất quan trọng được bổ sung để đảm bảo sự phát triển an toàn của sản phẩm trong suốt vòng đời từ khi khái niệm đến khi nghỉ hưu |
ID và xác định nguồn gốc |
Không |
sBOM và các yêu cầu về xuất xứ đảm bảo khả năng theo dõi SW & HW |
Dựa trên quy trình |
Không, và ISO 27001 không bao hàm đầy đủ các vấn đề được giải quyết bởi 7 quy trình SCS 9000 |
Ngoài việc thực hiện quy trình bắt buộc để đáp ứng các yêu cầu của Hệ thống quản lý chất lượng đối với (ISO 9001, TL 9000, v.v.), SCS 9000 yêu cầu thực hiện 7 quy trình để kiểm soát tốt hơn an ninh trong công ty. (Quản lý lỗ hổng kỹ thuật, Phụ tùng hàng giả, Đánh giá và giảm thiểu rủi ro, HW, SW, Xuất xứ thành phần, Phát triển SW / HW bảo mật và Sử dụng phần mềm |
Kiến trúc Zero Trust |
Không |
Kế hoạch Kiến trúc Zero Trust được bao gồm trong các yêu cầu, việc hiểu một ZTA đầy đủ là không thực tế để được thực hiện đầy đủ vào ngày 1. Theo dõi tiến độ so với kế hoạch cũng được yêu cầu. |
Tiếp tục kinh doanh |
Có, nhưng chỉ đối với việc đảm bảo an toàn thông tin trong và sự kiện bảo mật. Không yêu cầu thử nghiệm một cách rõ ràng |
Yêu cầu tạo phân tích tác động kinh doanh, lập kế hoạch BC và Kiểm tra BC |
Nguyên tắc tin cậy |
Không |
Có, với tình trạng minh bạch hoàn toàn theo từng Nguyên tắc tin cậy |
QMS cơ bản |
Không yêu cầu |
Yêu cầu. QMS cơ bản phải sử dụng Phụ lục SL như được sử dụng trong ISO 9001, TL 9000 và các QMS của lĩnh vực khác. |
CMDB |
Bao hàm |
Được xác định và bắt buộc |
Kiểm soát chuỗi cung ứng |
Kém |
Mạnh mẽ hơn và gắn liền với quy trình chuỗi cung ứng |
Điều khiển đám mây |
Không có trong ISO 27001, cần ISO 27017, có thể không đủ |
Bao gồm cả quan hệ đối tác với CSA |
Đo |
Không có |
Được xác định cụ thể và công bố trong Phụ lục B. Tất cả các tổ chức đã đăng ký phải gửi kết quả của họ dựa trên các phép đo này tới một kho lưu trữ an toàn sử dụng các quy trình và kiểm soát tương tự như đối với TL 9000 |
Đo điểm chuẩn |
Không có |
Được xuất bản hàng quý để thúc đẩy cải tiến liên tục |
Chương trình chứng nhận |
Có |
Có |
Năng lực của người đánh giá |
Được xác định lỏng lẻo nhưng bắt buộc |
Được xác định rõ ràng và bắt buộc |
3. Làm thế nào để đạt được chứng nhận SCS 9000
Cũng giống như TL 9000 diễn đàn TIA QuEST xây dựng chương trình đánh giá cho các tổ chức có nhu cầu đạt được chứng chỉ.
Xem thêm: Quy trình chứng nhận TL 9000 để hiểu rõ hơn.
Danh sách các tổ chức chứng nhận SCS
Bài viết được tổng hợp từ nguồn:tiaonline.org