安全信息通信產(chǎn)品與服務采購指南

美國東西方研究所

安全信息通信產(chǎn)品與服務采購指南

美國東西方研究所

美國東西方研究所（EWI）于2016年發(fā)布了由其全球安全ICT產(chǎn)品和服務可及性與使用突破小組編制的“安全信息通信產(chǎn)品與服務采購指南”。早在2015年，該小組就明確表示，政府和企業(yè)在ICT市場中扮演著多重角色。政府是政策制定者，有時也是ICT行業(yè)的監(jiān)管者，而企業(yè)開發(fā)和提供ICT產(chǎn)品和服務。政府和企業(yè)又都是ICT產(chǎn)品和服務的采購商。因此，網(wǎng)絡空間的利益相關方在提高ICT產(chǎn)品和服務的安全性方面，負有不同程度的責任。

安全信息通信產(chǎn)品與服務采購；管控網(wǎng)絡安全風險；國際標準和最佳實踐；對話

1 編制采購指南的必要性

當前，世界各地的政府和企業(yè)都依靠ICT產(chǎn)品和服務來維護國家和經(jīng)濟安全，保障社會治安和執(zhí)法，確保自身和服務對象的數(shù)據(jù)保密。而ICT的使用者也越來越認清并且擔心網(wǎng)絡安全風險。

在過去的18個月到24個月中，安全專家以及企業(yè)高管和董事會成員都投身到了加強網(wǎng)絡安全的努力之中，而且增加了對此的投入。普華永道《2016年全球信息安全狀況調(diào)查》顯示，有45%的企業(yè)董事會成員參與過制定總體安全戰(zhàn)略，而2015年的網(wǎng)絡安全預算也增加了24%。[1]

其實，企業(yè)早就應該重視網(wǎng)絡安全問題了。媒體關于網(wǎng)絡攻擊不斷增強的廣泛報道只是冰山一角。英國的勞埃德保險公司認為，網(wǎng)絡犯罪每年給企業(yè)造成4000億美元的損失，包括新的各種破壞、股價下挫、保費增加以及分散管理團隊精力等。加大對網(wǎng)絡安全的關注與投入確實意義重大，但這種關注和投入仍顯不足，而且有很多參與和投入上的努力僅僅局限于管控ICT系統(tǒng)和數(shù)據(jù)的操作風險，并未意識到采購決定對技術安全性的影響。具體而言，很多ICT采購商并沒有與供應商就后者如何開發(fā)技術產(chǎn)品和服務、在所處環(huán)境中管控風險以及如何采取其措施等問題進行溝通。

技術的創(chuàng)新和開發(fā)有賴于全球資源——網(wǎng)絡、實體和人力資源。全球化的手段能夠降低成本，讓世界各地的個人和組織都能享受ICT產(chǎn)品和服務所帶來的好處。但風險也隨之而來，因為個人、企業(yè)、服務和零部件千差萬別，產(chǎn)品和服務本身也高度復雜。尤其是ICT產(chǎn)品和服務往往包括脆弱的零部件，因此拓展了網(wǎng)絡風險敞口，也在產(chǎn)品和服務的生命周期內(nèi)增加了直接和間接成本。云服務成本效益高，發(fā)展迅速，往往依靠跨國托管和維護，這降低了風險的透明度，使得解決這類問題更顯重要。

通過確定采購重點，ICT采購商至少可以在網(wǎng)絡安全方面發(fā)揮兩個關鍵作用：

首先，購買和使用在自身環(huán)境中有足夠安全性和完整性保障的產(chǎn)品和服務能夠減少風險。

其次，通過將安全納入采購決策中，將激勵ICT供應商開發(fā)和提供更安全的產(chǎn)品和服務。

購買者若希望獲得更安全的ICT產(chǎn)品和服務，就應該提出詳細的安全要求，并在采購時加以利用。包括根據(jù)通行的國際標準和最佳實踐，在充分了解風險和事實的基礎之上來確定采購方法。同時還應該建立客觀的一致性體系，既要靈活，也應反映風險狀況。向ICT供應商提出詳細的問題和具有商業(yè)合理性的要求，采購商不僅能大幅減少一系列網(wǎng)絡威脅風險，還能夠降低網(wǎng)絡空間的整體風險。

在可行的情況下，采購商應該聯(lián)合起來，利用自身購買實力而向市場提出統(tǒng)一的要求。

總的來說，合理的ICT采購應該考慮從如下三個方面著眼：企業(yè)安全治理，產(chǎn)品和服務的生命周期——從設計、維護到應對，建立保障。

2 企業(yè)安全治理

2.1 戰(zhàn)略與控制

組織領導者所承擔的一項責任就是緩解可能會對組織核心使命、運行和聲譽產(chǎn)生負面影響的風險。如前所述，企業(yè)的董事會和高管已經(jīng)越來越深刻地認識到這類風險可能會導致網(wǎng)絡安全問題，所以網(wǎng)絡安全風險與其他風險一樣需要由董事會出面負責。換句話說，網(wǎng)絡安全風險必須納入企業(yè)整體風險管控計劃。因此，董事會和CEO必須持續(xù)參與，在管控網(wǎng)絡安全風險上發(fā)揮主導作用。明確了這一責任，組織就應該堅定承諾解決網(wǎng)絡安全風險，在內(nèi)部建立相關委員會或其他機構以應對風險（或?qū)⒕W(wǎng)絡安全風險管控納入現(xiàn)有風險管控機構的工作之中）。由于組織中的有關機構，如業(yè)務小組、關鍵部門、IT、人力資源、法務和安全等，只負責網(wǎng)絡安全風險的一個或幾個方面（威脅、脆弱性和后果），因此應成立一個高級別委員會，由各部門主管出任委員，評估和監(jiān)督風險管控，并且向董事會和高管持續(xù)匯報（進行季度或半年度定期報告，必要時增加頻率）。

該委員會應負責制定內(nèi)部網(wǎng)絡安全要求（企業(yè)政策、標準和程序），以指導關鍵職能部門（包括研發(fā)、生產(chǎn)和服務提供部門）以及支持和保障等部門（如人力資源、法務、標準、合規(guī)、審計部門）的工作。

這些要求不僅應納入相關業(yè)務小組或部門的績效標準之中，也應當是直接責任人應該遵守的標準；另外還應建立內(nèi)部評估和審計等機制，以跟蹤、監(jiān)督組織的自身管理或由第三方供應商完成的網(wǎng)絡安全職能和活動。這類問責機制能讓承擔網(wǎng)絡安全責任的部門和個人切實履行職責。內(nèi)部監(jiān)督機構則可以了解網(wǎng)絡安全風險如何得到有效管控，并且向董事會及時提供重要信息。

與戰(zhàn)略與控制相關的兩大問題是：供應商如何管理信息和網(wǎng)絡安全風險，有否將此納為企業(yè)的戰(zhàn)略與運行核心？產(chǎn)品或服務為解決突發(fā)的安全問題而會延遲多久上市？

2.2 標準和程序

要確保產(chǎn)品和服務質(zhì)量穩(wěn)定，企業(yè)員工和供應商必須遵守一致、可重復和可規(guī)模化的程序和做法，更需要通過培訓和工具給予支持。有效管控網(wǎng)絡風險也是如此。不管是產(chǎn)品質(zhì)量還是網(wǎng)絡安全，行之有效的程序和做法通常建立在國際通行標準和最佳實踐的基礎之上。

一個組織對內(nèi)（向管理人員、員工和承包商）和對外（向供應商）都應該明確必須遵守哪些合理的標準和程序。其中一項最佳實踐是“網(wǎng)絡安全框架”，由國家標準和技術研究院（NIST）與有關企業(yè)共同制定。[2]該“框架”參照國際標準，提出了分析和管理操作風險的程序及做法。這是一個組織評估和系統(tǒng)解決網(wǎng)絡安全風險的重要基礎。ICT采購商應考慮采納“網(wǎng)絡安全框架”中提到的各種方法，這不僅能提高自身網(wǎng)絡安全，還能評估供應商的情況。

內(nèi)部監(jiān)督機構還應考慮的其他因素包括國家或地區(qū)（如歐盟）的法律法規(guī)，以及特殊客戶或行業(yè)部門的需求。此外，各機構還應跟蹤網(wǎng)絡威脅的新變化和行業(yè)的發(fā)展，同時不斷評估要求提高所帶來的影響，包括對成本和創(chuàng)新的潛在影響。

與標準和程序相關的三個問題是：安全程序和實踐得到了哪些國際通行標準和最佳實踐的支持？缺口在哪里？該如何解決？

2.3 人力資源

人力資本是一個組織的最寶貴資產(chǎn)之一，有效的管理應當讓員工在創(chuàng)造價值的同時，也能為管理和降低風險做出貢獻。一流的組織會努力建立、維護和定期改進其文化，提高員工素質(zhì)，為實現(xiàn)組織的目標做出貢獻。因此，需要招聘、培訓和激勵員工，讓他們理解相關目標和要求，包括網(wǎng)絡安全風險管理。

這一人力資源目標應當適用于組織的各個層次，從基層員工到高層經(jīng)理無一例外。所有員工都應當有相應的網(wǎng)絡安全意識（符合其崗位的具體要求），而且應該定期加強和檢測。定期培訓應當包括遵守法律和內(nèi)部政策，同時通報違規(guī)案例。所有員工都應當清楚什么行為是被允許的，什么行為是不受鼓勵的，什么行為是明令禁止的。另外，還應確立一種組織文化，鼓勵員工舉報違規(guī)行為，遵守政策，否則將被問責。

組織還可以考慮進行隨機評估。例如，發(fā)送測試釣魚郵件，發(fā)起測試社會工程攻擊，對員工進行匿名調(diào)查，明確員工有舉報不當行為的責任。員工應該明白，組織重視遵守政策，而且采取了切實的措施，并在落實到了組織的各個層面。

與人力資源相關問題包括如何審查、選拔、培訓、問責關鍵員工，確保其值得信賴。

3 產(chǎn)品和服務的生命周期——從設計、維護到回應

由于網(wǎng)絡威脅在不斷發(fā)展變化，供應商應重點確保產(chǎn)品和服務在全生命周期內(nèi)的安全。具體而言，供應鏈上的每個技術供應商，包括軟件開發(fā)商、零部件供應商、制造商、批發(fā)商和經(jīng)銷商，都應當在降低供應鏈各環(huán)節(jié)的風險上發(fā)揮作用。應利用過程、實踐、培訓和工具來緩解各種潛在風險，包括在軟件代碼編寫過程中減少脆弱性的數(shù)量和嚴重程度，降低代碼遭惡意破壞的風險，防止假冒的零部件進入成品或服務。

各機構對產(chǎn)品和服務生命周期的描述都有所不同，但至少都采納以下兩種方式中的一種。一種方式是對供應商“內(nèi)部”開發(fā)的產(chǎn)品以及外包后又回收的產(chǎn)品（如硬件的零部件、開放源碼、其他第三方軟件）加以區(qū)分；另一種方式是在描述生命周期時使用產(chǎn)品和服務開發(fā)與投放過程中的一系列功能，將每個功能都視作供應鏈的組成部分，因為在當前的全球ICT市場，某項活動或功能可以而且經(jīng)常外包給第三方。

根據(jù)功能對產(chǎn)品和服務周期的劃分可見圖1。從網(wǎng)絡安全和供應鏈安全的角度看，采購商和供應商都應該重視各個類別的問題。對各類最佳實踐的簡單介紹，足以讓采購商更多地意識到供應商的哪些做法能最有效地幫助其在整個產(chǎn)品或服務周期內(nèi)管理安全性和完整性。

圖1 產(chǎn)品與服務生命周期最佳實踐

3.1 設計與開發(fā)

在設計與開發(fā)過程中，采購商與供應商應關注兩個方面：供應商如何管理軟件開發(fā)，又在多大程度上使用安全工程做法。

3.1.1 軟件開發(fā)

供應商應掌握所有產(chǎn)品和服務的核心過程和做法，管理軟件開發(fā)、運行和維護的基本質(zhì)量與安全。不管是否有額外的安全工程、供應鏈風險管理和/或增加安全性和完整性的制造方法，都應當采取這些做法，解決基本問題，如設計；開發(fā)政策和過程；配置和脆弱性管理（召回，并非所有的脆弱性都是安全脆弱性）；產(chǎn)品維護和處置。

3.1.2 安全的工程做法

供應商應遵守專門用于減少其產(chǎn)品、服務或零部件意外脆弱性的數(shù)量和嚴重程度的做法。其中包括建立威脅模型進行分析，采取減緩措施；安全編碼；運行保護技術；安全脆弱性分析、應對和補救；以及持續(xù)改進（監(jiān)督和評估威脅情況）。

與設計和開發(fā)相關的問題包括：供應商如何管理軟件開發(fā)過程，是否基于行業(yè)標準或最佳實踐？如是，又遵循了哪些標準和實踐？供應商是否制定生命周期戰(zhàn)略以確保從安全的角度保證產(chǎn)品和服務的設計、開發(fā)和維護？網(wǎng)絡安全要求是否貫穿始終？是否基于行業(yè)標準或最佳實踐？生命周期內(nèi)是否采取了安全的編碼程序？供應商如何識別和跟蹤脆弱性，在可能使用脆弱編碼/零部件的產(chǎn)品和服務中有否重點排查風險？供應商如何跟蹤網(wǎng)絡威脅的發(fā)展變化，并在設計、開發(fā)和運用階段予以考慮？

3.2 制造

這包括將源代碼文件轉(zhuǎn)化成能在電腦上運行的軟件，以及將軟件和硬件組裝成產(chǎn)品和服務。在生產(chǎn)和組裝之前或之中降低零部件遭攻擊或被假冒的風險十分重要。在此階段，優(yōu)良的產(chǎn)品開發(fā)和安全的工程程序以及供應鏈的最佳實踐將有助于防止產(chǎn)品和服務的安全和質(zhì)量受到破壞。因此，編碼和零部件質(zhì)量審查至關重要。

與制造相關的問題包括：編制過程中使用了哪些安全程序？如何對產(chǎn)品和服務進行持續(xù)檢測以排查安全脆弱性？供應商采取了哪些國際標準和檢測做法？

3.3 發(fā)布、實施和配送

當產(chǎn)品和服務準備發(fā)貨或交付時，發(fā)布的方式應當予以記錄并連貫執(zhí)行。這將保證渠道伙伴在發(fā)布周期內(nèi)遵守最佳實踐以及有效的安全和供應鏈措施，在向客戶配送過程中物理和邏輯獲取也不會受到影響。

與發(fā)布、實施和配送相關的問題包括：供應商如何確定和授權商業(yè)伙伴銷售自己的產(chǎn)品和服務并確保其履行承諾？如何在客戶最終接受之前保證產(chǎn)品和服務的安全性與完整性？如何幫助客戶將產(chǎn)品和服務安全地融入現(xiàn)有基礎設施？

3.4 維護和回應

這將保證產(chǎn)品或服務提供給客戶之后，按協(xié)議來管理產(chǎn)品和服務的維護問題。采購商應該清楚供應商在維護產(chǎn)品功能和安全性、處理事故以及在發(fā)貨后通知和改進脆弱性方面的承諾。

與維護和回應相關的問題包括：如何通過不間斷的維護、修補、事件處理和升級措施來保持和增強產(chǎn)品與服務的功能與安全性？

3.5 采購和供應鏈

這包括將上述的硬件和軟件的某一功能外包給第三方。采購商應該考慮供應商、制造商、經(jīng)銷商或分銷商是否可靠。因此，采購商應向供應商確認供應鏈和外包商是否自始至終采取相同的最佳實踐。

在此過程中，還應當采取以下措施，包括選擇和授權供應商和商業(yè)伙伴，如原始設備制造商（OEM）、零部件供應商、經(jīng)銷商等；保護供應商的環(huán)境（如物理和邏輯進入控制）；維護制造過程的安全性與完整性（如安全傳輸、開放源、減少假冒偽劣產(chǎn)品、發(fā)現(xiàn)惡意軟件）。

與采購和供應鏈相關的問題包括：在選擇之前是否對第三方進行評估，在其產(chǎn)品或服務進入供應鏈之后是否進行追蹤或驗證？供應商如何對其供貨商進行安全管理? 供應商是否建立相關安全標準，并將標準告知它的供貨商？供應商如何表述其制造流程以及提供評估上下游，以發(fā)現(xiàn)任何零部件遭破壞或被假冒的細節(jié)？

4 建立保障

這將指導采購商了解可用于提高增進保障的各種措施，包括供應商可以采納的不同方式，以證明其程序和做法加強了質(zhì)量保障。

加強和展示質(zhì)量保障有助于建立和不斷增強采購商與供應商之間的信任。

強化質(zhì)量保障的方法包括法律法規(guī)、合同、透明度等。有了這些做法，采購商更有可能要求提高ICT產(chǎn)品和服務的安全性和完整性；供應商也將更多地采取有關質(zhì)量保障的程序和做法。這也會激發(fā)市場對安全ICT產(chǎn)品和服務的需求。

展示質(zhì)量保障的方法包括外部證明（通常是經(jīng)認證）和自我證明。為此，需要提供具體的證據(jù)或其他信息，以說明供應商采納了何種標準、程序和做法。分享這類信息有助于建立、維護和增進信任。當然，這也會產(chǎn)生相關成本，包括延遲采納更安全的產(chǎn)品和服務或者阻礙創(chuàng)新。

4.1 強化質(zhì)量保障

政府、供應商和采購商可以采取多種措施強化質(zhì)量保障，包括法律法規(guī)、合同、獨立評估或證明以及透明度等。

4.1.1 法律法規(guī)

政府的政策制定者會要求其轄區(qū)內(nèi)的公共和私營部門采購商遵守安全、隱私或其他相關要求。同樣，這類采購商也必須保證其供應商也遵守這類規(guī)定。換句話說，采購商必須確保其采購的產(chǎn)品和服務滿足政府的要求。因此，這方面的法律法規(guī)能加強質(zhì)量保障。例如，歐盟委員會要求其轄區(qū)內(nèi)的機構遵守各種隱私承諾，為此還制定了示范條款（Model Clauses），亦稱標準合同條款（Standard Contract Clauses）。該條款保證個人數(shù)據(jù)在轉(zhuǎn)移至歐盟以外時應遵守歐盟的《數(shù)據(jù)保護指令》。采購商可以參照這一要求評估供應商。

4.1.2 合同

采購商與供應商通過訂立合同，就安全、隱私、質(zhì)量等相互做出承諾。采購商在合同中可以規(guī)定供應商必須遵守特殊的風險管理標準或指南，如ISO27000系列、ISO20243或美國國家標準與技術研究院的《網(wǎng)絡安全框架》。合同是一種靈活的市場機制，是增進質(zhì)量保障的有力手段。采購商在合同中可以明確提出具體需求和關切，讓供應商采取行之有效的措施。

4.1.3 透明度

除了政府規(guī)定、合同約束等法律機制，采購商和供應商還可以自愿方式提升質(zhì)量保障。供應商可以增強透明度，讓客戶更多了解其安全流程和措施、產(chǎn)品和服務，從而增進信任。采購商也可以要求供應商提高透明度，告知其為加強安全而采取的措施。如前文所述，自我證明是分享信息、提高透明度的方法。

與提高質(zhì)量保證相關的問題包括:采購商與供應商所在區(qū)域有哪些網(wǎng)絡安全與隱私保護的法律和規(guī)定，雙方是如何保證遵守這類法律法規(guī)的？合同中應包含哪些承諾？供應商如何提高透明度而讓采購商了解其相關承諾的？供應商有否組織與安全相關的客戶反饋交流會，與采購商就產(chǎn)品和服務的安全問題進行集體交流？

4.2 展示保障

采購商可以通過列出的問題確定供應商采取了哪些措施來提高產(chǎn)品和服務的安全性。它們應該詢問供應商是如何在產(chǎn)品和服務生命周期內(nèi)管理安全性和完整性的，包括是否遵守現(xiàn)有方法或國際標準。

供應商也可以通過兩種方式展示其保障產(chǎn)品和服務質(zhì)量的努力：自我證明和外部證明。外部證明包括依照國際標準進行審計和認證。兩種方式都可以增強采購商的信心。

自我證明意味著供應商證明并且通常需要提供證據(jù)，表明其遵守安全、隱私或相關要求。自我證明尤其適用于無法由獨立第三方評估的內(nèi)容。如果無法進行認證或者供應商尚未獲得認證，采購商應當詢問采用了哪些國際標準。

采購商在決定長期采購之前需要確信供應商具備遵守相關法律法規(guī)或履行合同的能力。為此，采購商需要深入了解產(chǎn)品和服務，而供應商更應該進行自我證明。采購商需要了解ICT產(chǎn)品和服務開發(fā)過程中遵守了哪些法律法規(guī)。供應商提供這類信息的方式也非常重要。信息披露應當清晰、完整、及時，以便采購商決定是否信任對方，還需要哪些額外保證。

對于有特殊安全關切的采購商，供應商還可以提供機會，讓其參觀生產(chǎn)車間，更加深入了解廠家采取的網(wǎng)絡安全措施。例如，華為、微軟等企業(yè)在多地建立中心，讓客戶近距離了解其安全措施。這種方式尤其適用于有特殊安全需求的客戶。

外部證明意味著供應商以外的機構評估、證明或認證供應商遵守了某些安全、隱私或相關規(guī)定。這類外部機構可以是政府或行業(yè)機構、獨立實驗室或者采購商。評估可以通過審計或其他機制來完成。評估完成后，外部機構將結果告知采購商，證明或認證供應商遵守相關規(guī)定的情況。

有些全球標準和最佳實踐很便于審計，如ISO27001（主要的信息安全標準）以及ISO/ IEC20243（產(chǎn)品安全和供應鏈安全標準）。對于這些可以審計的標準，獨立和專業(yè)評估機構對產(chǎn)品和服務的架構、運行、安全控制實施、開發(fā)和制造等都有明確要求。評估合格后，可以頒發(fā)認證證書。

獨立第三方認證不僅能提供更多保障，也能節(jié)省采購商的時間和資源，不必供應商逐一提問核實。使用現(xiàn)有的國際標準能大幅提高效率和降低成本。

與展示質(zhì)量保證相關的問題包括：如何利用外部證明，包括關于全球標準遵守情況的審計？若現(xiàn)有全球標準不包括采購商的關切或要求，供應商如何進行自我證明？

5 結語

目前，雖然對網(wǎng)絡安全的關注和投入不斷在增加，但仍顯不足。人們重視管理ICT系統(tǒng)和數(shù)據(jù)風險，但并沒有充分考慮所購買技術的安全性或完整性，以及采購決定會增加還是會減少網(wǎng)絡風險敞口。很多技術產(chǎn)品和服務采購商并不了解供應商是如何管控風險的，又是如何開發(fā)技術產(chǎn)品和服務來管控其安全的，以及能否展示在上述領域所采取的措施。

EWI采購指南旨在推動采購商與供應商之間的對話，其所提出的各項考慮和做法是為了幫助采購商制定和實施安全采購措施，以降低風險。同時也為采購商提供相關機制，確保供應商適當管控產(chǎn)品和服務中的風險。

[1] The Global State of Information Security[EB/OL]. [2016-09-10].http://www.pwc.com/gx/en/issues/ cybersecurity/information-security-survey.html.

[2] David.Cyber Crime Cost Businesses up to $400 Billion a Year[EB/OL].(2015-01-2)[016-09-12].http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf.

Purchasing Secure ICT Products and Services: A Buyers Guide The EastWest Institute

In 2016, the EastWest Institute’s (EWI) published Purchasing Secure ICT Products and Services: A Buyers Guide, compiled by its Breakthrough Group on Increasing the Global Availability and Use of Secure ICT Products and Services. This group came to the conclusion in 2015 that government and industry act in multiple roles as stakeholders in the ICT marketplace. The government acts as a policymaker and sometimes as a regulator of ICT, industry develops and provides ICT products and services, and both the government and industry are buyers of ICT products and services. Accordingly, cyberspace stakeholders have varying responsibilities and capabilities to increase the security of ICT products and services.Created based on surveys, the Guide is intended to help buyers, suppliers, and users of information and communications technologies better understand and address the cybersecurity and privacy risks inherent in ICT products and services. These individuals include senior executives and members of their governing boards and parent organizations, chief information and information security officers, risk management professionals, acquisition officers, insurers, auditors, and other third-party risk evaluators, and design, manufacturing and supply chain professionals. The version 1.0 of the Guide provides three recommendations for ICT buyers and suppliers: 1. Engage in a dialogue about risk management; 2. Use questions in this guide to frame the dialogue; 3. Rely on international standards to increase confidence in the results.

purchasing secure ICT products and services;management of cybersecurity risks;international standards and best practices, dialogue

D99

A

1009-8054(2016)12-0076-08

EWI在調(diào)查基礎上所編制的采購指南意在幫助ICT行業(yè)的采購商、供應商和使用者更好地了解和應對ICT產(chǎn)品與服務的內(nèi)在網(wǎng)絡安全和隱私風險，其所指的目標人群則包括企業(yè)高管和董事會成員、首席信息安全官、風險管控專家、并購官員、保險商、審計人員、其他第三方風險評估人員以及設計、制造和供應鏈專家等。作為1.0版本的指南為ICT采購商和供應商提供了三條建議：一是加強風險管控對話；二是按指南中的問題設計開展對話；三是參照國際標準，增強對結果的信心。

東西方研究所是美國一家從事安全研究的知名智庫，近年來研究所在網(wǎng)絡安全領域發(fā)布了眾多有影響力的研究報告，并長期舉辦全球網(wǎng)絡安全峰會。