SR-05 - Stratégies, outils et méthodes d’acquisition (PaFF)
Énoncés :
Utiliser les stratégies d’acquisition, les méthodes d’approvisionnement et les outils de passation de marchés suivants afin de déterminer, de contrer et d’atténuer les risques associés à la chaîne d’approvisionnement : [Affectation : stratégies d’acquisition, outils de passation de marchés et méthodes d’approvisionnement définis par l’organisation].
Paramètres :Le recours au processus d’acquisition fournit un véhicule important pour la protection de la chaîne d’approvisionnement. Il existe de nombreux outils et de nombreuses techniques, notamment le masquage de l’utilisation finale d’un système ou d’un composant de système, les achats voilés ou filtrés, l’exigence d’un emballage avec sceau d’inviolabilité ou le recours à une distribution fiable ou contrôlée. Les résultats d’une évaluation des risques liés à la chaîne d’approvisionnement peuvent orienter et informer le choix des stratégies, des outils et des méthodes qui conviennent le mieux à la situation. Les outils et les techniques peuvent fournir une protection contre la production non autorisée, le vol, la modification, la contrefaçon, l’insertion de code malveillant ou de porte dérobée et les mauvaises pratiques de développement tout au long du cycle de développement des systèmes. Les organisations devraient également penser à offrir des mesures incitatives pour les fournisseurs afin de mettre en œuvre des contrôles et de favoriser la transparence des processus et des pratiques de sécurité et de protection de la vie privée. Elles peuvent également fournir un libellé de contrat qui traite de l’interdiction d’utiliser des composants contaminés ou contrefaits et restreindre les achats des fournisseurs qui ne sont pas dignes de confiance. Les organisations devraient considérer de fournir des programmes de formation et de sensibilisation pour le personnel concernant les risques liés à la chaîne d’approvisionnement, les stratégies d’atténuation disponibles et les circonstances appropriées pour utiliser les programmes. Les méthodes utilisées pour examiner et protéger les plans de développement, la documentation et les preuves doivent être appropriées selon les exigences de sécurité et de protection de la vie privée de l’organisation. Les contrats peuvent également préciser les exigences relatives à la protection des documents.