网络安全标准应用实践案例 | 供应链安全主题之六

GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》标准在计算机智能制造领域的实践

申报单位：联想（北京）有限公司、国民认证科技（重庆）有限公司

一、案例简介

联想针对AIPC产品在生产制造过程中供应链复杂多变、技术高速迭代、网络攻击频繁等问题，积极实践GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》，以风险识别和风险管理为抓手，充分利用AI技术驱动风险管理和风险应对，形成完善有效的供应链风险管理体系，助推计算机智能制造标准化模式的安全运营。通过 “标准化框架+技术赋能+生态协同” ，实现风险可控、效率提升与可持续发展目标。未来将进一步深化AI智能化转型，推动供应链从 “合规达标” 向 “价值创造” 升级，引领行业标准化落地。

二、举措与成效

①风险识别与评估。通过供应链映射，识别关键节点、关键供应商和潜在的单点故障；使用定量与定性方法评估供应商的财务稳定性、地缘政治风险、网络安全能力等。

②供应商审合与分级管理。对供应商进行安全调查与合规审合；根据供应商对业务的重要性和风险等级，实施差异化的管理策略和审计频率。

③合同与合规控制。合同条款嵌入安全要求；定期审计供应商是否遵守相关法律法规。

④技术升级与体系保障。落地数字化转型战略；建立多元化供应体系和生态协同机制。

⑤应急响应与恢复机制。制定安全应急预案；开展演练与复盘。

⑥持续改进与培训管理体系。对员工与供应商进行安全意识培训；采用数据驱动的改进机制。

⑦人工智能驱动制造风险控制。部署AI驱动的智能控制塔，利用AI实现端到端可视化、动态资源智能调配和基于大数据的风险预测。

⑧ESG理念整合强化风险管理。将可持续发展理念全面纳入计算机智能制造战略。

三、特色亮点

①标准与实际深度结合。践行《ICT供应链安全风险管理指南》中第6、7章的关键内容，并结合联想产品线复杂、供应链条长、全球化运营的实际情况进行实践。

②人工智能辅助风险评估。利用人工智能技术和大数据技术实时诊断供应链异常、预判供应链风险并辅助决策，缩短了响应时间，提升了决策的正确率。

③ESG强化智能制造风险管理。构建高效、韧性、智能、绿色的全球供应链体系，以强化长期风险抵御能力。