你的“三文鱼”还安全吗?
自北京新发地市场的三文鱼案板被检测出新冠病毒,连带着三文鱼也遭了殃,海产品类餐饮行业再次受到了极大影响。为此中国疾控中心召开疫情发布会,还特意澄清称:“进入到污染场所之前的三文鱼,并没有检测出新冠肺炎病毒。”
这次三文鱼事件,不应简单地视为一起食品安全事件,深入探究其实是冷链物流环节出现了缺失,导致食品在运输途中受到污染。而本次事件借助疫情的社会关注度,被放大为一起严重的公共安全事件,甚至进而辐射影响到整个三文鱼产业的健康发展。
我们不确定下一次产品供应链的安全问题又将会出现在哪个行业、哪家公司,以及通过哪个公众痛点(类似于新冠病毒)的催化进而暴雷?谁又将会成为下一条躺枪的“三文鱼”?
IT产品供应链与食品供应链有着很多相似之处,任何威胁其供应链安全的核心催化剂如用户隐私、信息安全、产品开发、产品采购等,都可能让整个行业或公司陷入舆论风波中。因此借助此次三文鱼事件,也来谈谈如何保障IT产品供应链的安全与完整。
——The Open Group 标准和认证副总裁 Andrew Josey
什么是O-TTPS?
O-TTPS 是由The Open Group 的Trusted Technology 论坛(OTTF) 主导的一套开放标准,并通过了ISO/IEC 国际标准(ISO/IEC20243:2015)(标准全文:https://www.iso.org/standard/74400.html)。其中包含一系列组织指南、要求和建议,旨在帮助集成商、提供商和组件供应商提高全球供应链的安全性和商用现货 (COTS) 信息与通信技术 (ICT) 的完整性。通过严格遵守该标准,企业可在整个 COTS ICT 产品生命周期防止出现恶意污染和假冒产品,包括设计、采购、构建、履行、分发、支持和报废等阶段。通过此独立的自愿性O-TTPS认证计划,从而正式认可(组织或企业)对本行业标准的符合性。
O-TTPS的优势
• 识别和降低COTS ICT产品开发、采购和维护过程中的安全风险。
• 拉开产品在市场中的差异化。
假冒产品或经过恶意篡改的产品,通过未经跟踪的恶意行为,对组织和国家均构成重大威胁,并损害到客户和供应商的利益,导致产品质量粗制滥造,影响企业收入和品牌、甚至知识产权。无论是政府还是企业都开始寻求确保所用产品安全可靠的一套标准。
比如像IBM这个案例,设计安全性是IBM安全工程进度的一个重要指标,开放可信技术提供商标准(O-TTPS)及认证计划可以帮助指导和识别像IBM这样的技术可靠供应商,他们重视安全设计的最佳实操性。IBM是OTTF的创始成员之一,并已成功通过其应用程序基础结构和中间件(AIM)软件获得O-TTPS认证。O-TTPS ISO/IEC的身份为IBM认证以及将来可能授予其他行业供应商的认证提供了更多的可信度。”
随着IT产品在全球供应链中的发展,制定一个全球标准以减轻对国家和全球组织的潜在威胁已经迫在眉睫。O-TTPS国际标准和认证计划将提高产品的质量、供应链的安全性,并重新定义供应商、零件供应商、集成商、增值经销商的玩法规则。如果不用ISO / IEC这样的统一标准,组织将不得不需要遵守各种繁杂的国家或地区的法规和评估条例,这使得组织与组织之间的供应链标准无法统一,不可避免出现更多的问题。
无论是IBM也好,还是NASA SEWP、华为、DH Technologies等国际知名企业或组织,都加入到了O-TTPS认证中来确保COTS ICT 产品在供应链中的完整性和安全性。未来也将会有更多的企业遵循这一标准,创造一个互相信任、技术革新的全球供应链新格局。
关于O-TTPS的第三方评估
O-TTPS认证计划使用第三方评估员进行一致性评估。申请O-TTPS认证的组织必须从O-TTPS认可评估员登记册上列出的评估公司中选择评估公司。唯一有资格参加O-TTPS认证计划的第三方评估公司是O-TTPS认可评估师登记册上列出的公司。
作为第三方评估机构,认可的评估公司必须满足某些标准,并且所使用的单个评估人还必须满足一组附加标准,并且已通过O-TTPS评估员考试,然后才能分配给O-TTPS评估。向那些合格组织颁发O-TTPS认可评估员证书,并将其列在公开的O-TTPS认可评估员登记册中。
The Open Group推荐阅读
The Open Group正式发布《采用IT4IT™标准的服务代理》