在O-TTPS v1.0中对技术供应链安全提出了一系列针对技术供应商(提供信息技术产品)控制措施以保证技术供应链安全。
然而,在当前的全球市场中,技术供应商已不仅仅指O-TTPS v1.0 中所定义的那些,还包括了大量的其他供应商,其供应产品的质量、安全性、可靠性等对信息安全也具有十分重大的影响。
根据ISO9000中对产品的定义,产品包括硬件、软件、服务和流程性材料,对应到IT领域,也应针对不同类型的技术供应商提出一系列安全控制措施,以保证自身的信息安全,保护客户信息资产安全。
特别是在一些新技术领域,如云计算领域,云服务提供商的软件、硬件、服务产品等都需要加强安全控制,也需要云服务的用户对服务提供商各方面的安全控制能力进行全面、客观的评价和控制,以保证自身信息资产的安全。评价方式可以依托自身能力,也可以采取第三方评估认证机制。如果是在国家或行业层面,可以制定国家或行业的评估标准或规范,并建立权威的第三方云服务安全评估或认证机构来实施。