hero-two-bg

ISO/IEC 20243-1

ISO/IEC 20243-1, également connu sous le nom de norme Open Trusted Technology Provider™ (O-TTPS), est une norme internationale conçue pour atténuer le risque d'introduction de produits contaminés et contrefaits dans la chaîne d'approvisionnement. Elle se concentre sur l'intégrité des produits COTS (Commerciaux sur Étagère) des Technologies de l'Information et de la Communication (TIC) et fournit un ensemble de lignes directrices pour les meilleures pratiques organisationnelles en matière de fabrication, de sourcing et d'intégrité des produits.

Demander une démo des Cadres Personnalisés de Secureframeangle-right

Définition et objectif

Le but de la norme est de fournir un ensemble de lignes directrices qui peuvent aider les organisations à établir une chaîne d'approvisionnement de confiance et à assurer la sécurité de leurs produits contre les logiciels et matériels malveillants. Elle aborde le risque pour l'entreprise d'inclure des composants malveillants ou contrefaits dans un produit.

Organe directeur

ISO/IEC 20243-1 est maintenu par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), en collaboration avec The Open Group, qui a initialement développé l'O-TTPS.

Dernière mise à jour

ISO/IEC 20243-1 a été publiée en 2018. Elle doit être remplacée par ISO/IEC PRF 20243-1, dont la publication est actuellement prévue pour décembre 2023.

S'applique à

ISO/IEC 20243-1 s'applique à toute organisation impliquée dans la production, la conception, l'approvisionnement ou la distribution de produits TIC COTS. Cela inclut les fabricants, les fournisseurs et les distributeurs faisant partie de la chaîne d'approvisionnement des produits TIC.

Contrôles et exigences

La norme décrit divers contrôles et meilleures pratiques dans plusieurs domaines, notamment mais sans s'y limiter :

  • Procédures d'évaluation des risques : Évaluation des risques tout au long du cycle de vie du produit et de la chaîne d'approvisionnement.
  • Pratiques de génie et de développement sécurisés : Assurer que la sécurité est intégrée dans les processus de génie et de développement.
  • Sécurité de la chaîne d'approvisionnement : Mesures pour sécuriser la chaîne d'approvisionnement contre les composants contrefaits et contaminés.
  • Production/Distribution sécurisée : Assurer la sécurité et l'intégrité des produits pendant la production et la distribution.
  • Résistance aux altérations : Mesures pour prévenir tout accès non autorisé et toute altération des produits.
  • Vérification de l'intégrité des produits : Processus de vérification de l'intégrité des produits et composants.
  • Gestion des relations avec les fournisseurs : Gestion des relations avec les fournisseurs pour s'assurer qu'ils respectent les exigences de sécurité.

Veuillez vous référer à la documentation officielle ISO/IEC 20243-1:2018 pour des détails sur les contrôles et exigences.

Type d'audit, fréquence et durée

Les audits impliquent généralement une évaluation par un tiers par rapport aux contrôles du standard pour la sécurité et l'intégrité de la chaîne d'approvisionnement. La fréquence de ces audits peut être déterminée par des obligations contractuelles, des stratégies de gestion des risques ou dans le cadre des exigences de certification.

La durée d'un audit peut varier considérablement en fonction de la taille et de la complexité de l'organisation, du nombre de produits audités et de la profondeur de la chaîne d'approvisionnement examinée.

Devenez conforme en utilisant les cadres personnalisés de Secureframe

Demander une démoangle-right
cta-bg