การผลักดันมาตรฐานการจัดการความเสี่ยงด้านซัพพลายเชนกำลังเพิ่มขึ้นทั่วทั้งรัฐบาล ข้อกำหนดของกระทรวงกลาโหม Cybersecurity Maturity Model Certification (CMMC) ที่อยู่ระหว่างการตรวจสอบอาจได้รับความสนใจมากที่สุด แต่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ องค์กรรับรองมาตรฐาน ISO และความพยายามอื่นๆ อีกหลายอย่างก็กำลังทำให้ห่วงโซ่อุปทานขุ่นมัวเพื่อช่วยเพิ่มความชัดเจนให้กับแหล่งน้ำที่กำลังเติบโตนี้ NASA SEWP ร่วมมือกับผู้เชี่ยวชาญเพื่อเปรียบเทียบมาตรฐาน NIST และ ISO
Joanne Woytek ผู้อำนวยการโครงการของ NASA SEWP กล่าวว่า
ความพยายามทางม้าลายนี้จะช่วยให้หน่วยงานและผู้ขายมีความมั่นใจในผลิตภัณฑ์และบริการด้านเทคโนโลยีที่พวกเขากำลังซื้อ
ลูกยิงของ Joanne WoytekJoanne Woytek เป็นผู้อำนวยการโครงการของ NASA SEWP
“เรามีมาตรฐาน ISO นี้อยู่แล้วและมันก็เริ่มถูกนำไปใช้บ้างเล็กน้อย เรากำลังดูว่าสิ่งนี้กำลังทำอะไรอยู่และตระหนักว่าผู้คนได้ยินจากหลาย ๆ ด้านเกี่ยวกับสิ่งนี้ที่กำลังเกิดขึ้น สิ่งอื่น ๆ ที่กำลังเกิดขึ้น และผู้คนได้รับคำสั่งให้ปฏิบัติตามสิ่งนี้ คุณควรปฏิบัติตามนั้น แล้วพวกเขาปฏิบัติตามอะไร” Woytek กล่าวในการให้สัมภาษณ์กับ Federal News Network “มีสิ่งดีที่ออกมาจากมาตรฐาน ISO ที่ช่วยให้ชีวิตของพวกเขาง่ายขึ้น แล้วมาตรฐานของ NIST ล่ะที่ตรงกับสิ่งนั้นบ้าง? คำถามเหล่านี้ผุดขึ้นมาในใจของเรา ดังนั้นเราจึงตัดสินใจรวมกลุ่มกันเพื่อพิจารณาเรื่องนั้นและตัดสินใจดูว่ามีความตรงกับสิ่งที่ NIST กำลังพิจารณาอยู่หรือไม่ และมาตรฐาน ISO นี้พิจารณาอย่างไรเพื่อช่วยแจ้งลูกค้าของเรา ”
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี
และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
คณะทำงานที่ประกอบด้วยภาครัฐและภาคอุตสาหกรรมเปรียบเทียบมาตรฐานผู้ให้บริการเทคโนโลยีที่เชื่อถือได้ (OTTPS) ที่ประกอบขึ้นเป็นISO 20243และ NIST Special Publication 800-161
Woytek กล่าวว่าสิ่งที่คณะทำงานพบนั้นน่าประหลาดใจ
ทางม้าลายแสดงให้เห็นว่ามีการทับซ้อนอย่างมีนัยสำคัญของการปรับปรุงตัวควบคุม 5 รายการจาก 12 รายการ ตลอดจนการควบคุมความเสี่ยง 75%-89%
“เราใช้ความพยายามไม่น้อยในการทำงานร่วมกับ Open Group และมาตรฐาน ISO นี้ และเรารู้สึกว่าเป็นเช่นนั้น — เป็นสิ่งที่ควรค่าแก่การติดตาม แต่อย่างที่คุณทราบ ไม่ว่ามาตรฐานใดก็ตาม หากคุณไม่มีลูกค้าที่ต้องการ มาตรฐานนั้นจะไม่พยายามขอการรับรอง ถ้าไม่มีใครอยากได้รับการรับรอง ใครจะสนใจ? ทำไมต้องใช้เงิน? ดังนั้นคุณจึงมีคำถามว่าไก่กับไข่จะเริ่มต้นอย่างไร ในช่วงไม่กี่ปีที่ผ่านมา เราได้ค่อยๆ สร้าง [โดยส่วนใหญ่] พูดคุยกับผู้ถือสัญญาของเราและผ่านการนำเสนอ และบางครั้งฟังลูกค้าเกี่ยวกับมาตรฐาน ISO นี้” เธอกล่าว
เอกสารไวท์เปเปอร์สรุปว่า:
มาตรฐานการจัดการความเสี่ยงด้านห่วงโซ่อุปทาน (SCRM) ของ ISO 20243 ของ O-TTPS สำหรับ “ผลิตภัณฑ์ที่มีการปลอมแปลงที่เป็นอันตรายและเป็นอันตราย” ให้มาตรการการจัดการความเสี่ยงที่หน่วยงานสามารถใช้เพื่อตอบสนองบางส่วนของ NIST 800-161 และ NIST IR 7622
มาตรฐาน ISO SCRM แมปกับ 75%-89% ของการควบคุมความเสี่ยงที่ระบุใน NIST IR 7622
มาตรฐาน ISO SCRM กล่าวถึงการปรับปรุงการควบคุมการจัดการห่วงโซ่อุปทาน 5 ใน 12 รายการโดยตรง
มาตรฐาน ISO SCRM เป็นไปตามการปรับปรุงการควบคุมการจัดการห่วงโซ่อุปทาน 9 ใน 12 รายการ และส่งเสริมการควบคุมที่เหลืออีก 2 ใน 3 รายการ
มีการควบคุมการปรับปรุงการควบคุมการจัดการห่วงโซ่อุปทานโดยเฉพาะหนึ่งที่ ISO SCRM ไม่สามารถตอบสนองและไม่ได้ระบุ
มาตรฐาน ISO มีความสอดคล้องกันในวัตถุประสงค์และเจตจำนงกับเนื้อหาและแนวทางนโยบายของรัฐบาลกลางที่เกิดขึ้นใหม่ทั้งหมดที่ได้รับการเสนอหรืออยู่ในรูปแบบร่าง