Research Objectives |
研究の目的 |
|
In order to explore cyber supply chain security practices and challenges further, ESG surveyed 303 IT and information security professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). All respondents were familiar with/responsible for their organization’s information security policies and procedures, especially with respect to the procurement of IT products and services. Respondents also had to be familiar with cyber supply chain security as defined previously. |
cyberのサプライチェーンの保証を探検することは更に練習し、挑戦する、ESGは303をそれおよび米国によって重大な下部組織として示された縦の企業内の米国の大きいmidmarket (500から999従業員)の組織そして企業クラスの(1,000人の従業員または多く)組織を表している情報セキュリティの専門家調査した。 自国の保安(DHS)の部門。 すべての被告はよく知られているをまたはそれの調達に関してを彼らの構成の情報セキュリティの方針およびプロシージャ、特にプロダクトおよびサービス担当した。 被告はまた前に定義されるようにcyberのサプライチェーンの保証をよく知られなければならなかった。 |
|
The survey was designed to answer the following questions: |
調査は次の質問に答えるように設計されていた: |
|
1. Risk management |
1. リスク管理 |
|
Has the organization experienced any security breaches? If so, what was the impact? |
構成は国防侵犯を経験したか。 その場合、影響は何だったか。 |
|
How would respondents rate the security threat landscape now compared with two years ago? Do respondents expect the threat landscape to get worse over the next two years? |
被告はいかに今前に2年と比較された保証脅威の景色を評価するか。 被告は次の2年にわたってより悪くなると脅威の景色が期待するか。 |
|
How well prepared is the organization for the current threat landscape? |
どれだけうまく準備されて構成は現在の脅威の景色のためであるか。 |
|
Is executive management supporting and investing in cybersecurity? |
支え、投資している管理管理はcybersecurityにあるか。 |
|
2. Procurement |
2. 調達 |
|
How important are IT vendors’ security processes in customers’ procurement decisions? |
それはいかに重要売り手の」顧客の保証プロセス」の調達の決定であるか。 |
|
Do critical infrastructure organizations audit the development processes of vendors before purchasing IT products? If so, is there a common model for these audits? Are these standard activities and processes across the enterprise? |
重大な下部組織の組織はそれを購入する前に売り手の開発プロセスをプロダクト監査するか。 その場合、これらの監査のための共通モデルあるか。 企業を渡るこれらの標準的な活動そしてプロセスはあるか。 |
|
Are vendor cybersecurity audits a critical component of IT procurement or do purchasing managers have the discretion to purchase from IT vendors with sub-par product and process security? |
売り手のcybersecurityの監査はそれの重大な部品調達であるまたは購入マネージャーそれから補助的同価プロダクトおよびプロセス保証の売り手を購入する思慮分別を持ちなさいか。 |
|
3. Software development |
3. ソフトウェア開発 |
|
Do critical infrastructure organizations include security considerations as part of their standard software development processes? |
重大な下部組織の組織は標準ソフトウェアの開発プロセスの一部としてセキュリティ考察を含んでいるか。 |
|
Have organizations experienced any security breaches related to internally developed software vulnerability? |
組織は内部的に開発されたソフトウェア脆弱性と関連している国防侵犯を経験したか。 |
|
Do critical infrastructure organizations require their internal developers to be trained in secure software development? |
重大な下部組織の組織は内部開発者が安全なソフトウェア開発で訓練されるように要求するか。 |
|
When organizations outsource their software development, are secure development processes a requirement for external outsourcers and contractors? |
安全な開発プロセスはいつ組織ソフトウェア開発を外部委託したり、外的なoutsourcersおよび建築業者のための条件であるか。 |
|
4. External IT security |
4. 外面それ保証 |
|
To what extent do critical infrastructure organizations currently open their IT systems to external parties such as customers, suppliers, and business partners? |
重大な下部組織の組織の現在開いた彼等の顧客、製造者および共同経営者のような外的な党にそれシステムかどの程度までか。 |
|
To what extent do critical infrastructure organizations currently consume IT services and applications provided by external parties such as customers, suppliers, and business partners? |
重大な下部組織の組織現在かどの程度までそれを整備する、顧客、製造者および共同経営者のような外的な党によって提供された適用は消費しか。 |
|
How are these relationships secured? Are there formal processes and safeguards in place? |
これらの関係はいかに保証されるか。 形式的なプロセスおよび安全装置があるか。 |
|
5. The role of the U.S. Federal Government |
5. 米国の役割。 連邦政府 |
|
Do cybersecurity professionals working at critical infrastructure organizations understand the U.S. government’s cybersecurity strategy? |
重大な下部組織の組織で働いているcybersecurityの専門家を理解する米国をしなさい。 政府のcybersecurityの作戦か。 |
|
Do critical infrastructure organizations believe that the Federal Government should do more or less in terms of cybersecurity defenses and strategies? |
重大な下部組織の組織は連邦政府がcybersecurityの防衛および作戦の点では多かれ少なかれするべきであることを信じるか。 |
|
What if any specific actions should the Federal Government take? |
特定の行為は何を取る連邦政府べきであるか。 |
|
Survey participants represented industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). These industries include agriculture and food, banking and finance, communications, defense industrial base, energy (utilities, oil, and gas), transportation systems, water supply, health care, etc. For more details, please see the Research Methodology and Respondent Demographics sections of this report. |
米国によって重大な下部組織として示される関係者によって表される企業を調査しなさい。 自国の保安(DHS)の部門。 これらの企業は農業および食糧、銀行業および財政、コミュニケーション、防衛産業基盤、エネルギー(実用性、オイルおよびガス)、交通システム、給水、ヘルスケア、等含んでいる。 詳細については、このレポートの研究の方法および被告の人口統計セクションを見なさい。 |