标准的条款7“分布的网络安全活动”讨论了 OEM 和供应商之间的网络安全关系。
OEM 负责确保所使用的供应商实施了旨在确保其产品和组件网络安全的方法。 通过 三个阶段 来建立供应商和 OEM 的关系:
评估: (条款 7.4.1)“供应商能力证明和评估”
● 作为 OEM 进行的供应商评估和评价的一部分,供应商可以提供“网络安全能力记录”
确认: (条款7.4.2)“询价”
● 当 OEM 从供应商购买组件时,它们应当在其报价中包括下列内容:
1、符合本标准的正式要求
2、供应商根据7.4.3的规定所承担的网络安全责任的预期
3、与该供应商报价的功能项或组件有关的网络安全目标和/或网络安全要求集
保持一致: (条款 7.4.3)“职责一致”
● OEM 和供应商必须通过称为CIAD“网络安全接口协议”就责任划分和调整达成共识。 CIAD 责任划分包括就下列事项达成共识:
1、OEM 和供应商的网络安全联系点
2、共同约定网络安全活动
3、明确由 OEM 或者供应商执行的网络安全活动
● OEM 和供应商应当使用 RASIC 模型建立 CIAD 网络安全责任划分