导图社区 ISO 20243-1
这是一篇关于ISO 20243-1的思维导图,主要内容包括:范围,4、业务背景和概述,5、O-TTPS-污染和假冒风险,6、O-TTPS-应对受污染和假冒产品风险的要求。
这是一篇关于iso 27036-3的思维导图,主要内容包括:协定过程组,组织的项目使能过程组,技术管理过程组,技术过程组。
这是一篇关于ISO/IEC 27036-4思维导图,主要内容包括:5 关键概念以及安全威胁和风险,6 云服务采购生命周期中的信息安全控制,7 云服务提供商的信息安全控制。
社区模板帮助中心,点此进入>>
论语孔子简单思维导图
《傅雷家书》思维导图
《童年》读书笔记
《茶馆》思维导图
《朝花夕拾》篇目思维导图
《昆虫记》思维导图
《安徒生童话》思维导图
《鲁滨逊漂流记》读书笔记
《这样读书就够了》读书笔记
妈妈必读:一张0-1岁孩子认知发展的精确时间表
ISO 20243-1
范围
该文件对提供商(provider)和供应商(suppler)进行了区分。供应商是向供应商或集成商提供组件或解决方案(软件或硬件)的上游供应商。提供商是指直接向下游集成商或收购方提供COTS ICT产品的供应商。
O-TTPS认证计划允许组织选择其认证范围。该组织将在特定范围内获得符合O-TTPS的认证,该范围可被确定为一个或多个单独的产品、一个产品线或业务部门,或整个组织。 说明适用于本组织认证范围的本组织的性质;例如,OEM、组件供应商、增值经销商、集成商、分销商。
4、业务背景和概述
5、O-TTPS-污染和假冒风险
6、O-TTPS-应对受污染和假冒产品风险的要求
O-TTPS是根据供应商的产品生命周期来描述的。O-TTPS中包含的供应商最佳实践集合是OTTF认为最能影响和管理COTS ICT产品从一开始到生命周期结束时的完整性的实践。
技术开发
供应商对COTS ICT产品的技术开发活动主要在供应商的内部监督下执行。与确保防止受污染和假冒产品最相关的方法领域是:产品开发/工程方法和安全开发/工程技术方法。
供应链安全
供应商的供应链安全活动侧重于最佳实践,在这些实践中,供应商必须与第三方互动,第三方在产品的生命周期中做出商定的贡献。在这里,供应商的最佳实践通常通过控制点来控制与外部供应商的交叉点,这些控制点可能包括检查、验证和合同。
PD:产品开发/工程方法
定义
值得信赖的技术提供商使用定义明确、有文件记录和可重复的产品开发或工程方法和/或过程。该方法的有效性是通过指标和管理监督来管理的。
PD_DES:软件/固件/硬件设计过程
PD_DES.01 应建立相关流程,确保设计过程中对各项要求均已予以考虑。
PD_DES.02 产品要求应形成文件(或:产品要求须予以记录存档)。
PD_DES.03 作为设计过程的一部分,产品要求应进行跟踪。
PD_CFM:配置管理
PD_MPP:明确的开发/工程方法过程和实践属性定义
PD_QAT:质量和测试管理
PD_PSM:产品维持管理
SE:安全开发/工程方法
可信技术提供商在设计和开发产品时采用安全的工程方法。软件提供商和供应商通常采用方法或流程,目的是识别、检测、修复和减轻可能被利用的缺陷和漏洞,以及验证成品的安全性和弹性。硬件提供商和供应商还包括减少使用未经验证和不真实软件的方法,以及防止假冒硬件或软件的方法。
SE_TAM:威胁分析和缓解
SE_RTP:运行时保护技术
SE_VAR:漏洞分析和响应
SE_PPR:产品修补和修复
SE_SEP:安全工程实践
SE_SEP.01应采用安全编码实践,以避免导致可利用产品漏洞的常见编码错误;例如,用户输入验证、使用适当的编译器标志等。
SE_SEP.02应采用安全硬件设计实践(如适用);例如,安全启动、清零内存、有效不透明等。
SE_SEP.03应根据不断变化的实践和威胁情况,定期向相关人员提供安全工程实践培训。
SE_MTL:监测和评估威胁格局变化的影响
SC:供应链安全方法
风险管理
物理安全
访问控制
员工和供应商安全和诚信
业务伙伴安全
供应链安全培训
信息系统安全
值得信赖的技术组件
安全传输和处理
开源处理
减少假冒
恶意软件检测
SC_MAL.01作为代码验收和开发过程的一部分,应部署一个或多个最新的恶意软件检测工具。
SC_MAL.02在开发、制造和/或集成过程中,应在适当的情况下应用恶意软件检测技术,以防止最终产品中包含恶意软件(例如,在将成品组件和/或产品提供给客户之前,使用一个或多个最新的恶意软件检测工具扫描其是否存在恶意软件)。
