隨著來自多方面的威脅與日俱增，電子行業已經意識到需要在多個層面的安全問題上提供保護。

如果您加入了一家新公司，就會發現自己在入職過程中需要簽署一系列的文件，確保新雇主的知識產權、業務、甚至員工的隱私和個人數據的安全。除了入職培訓，大型企業通常還要求員工遵守全新的及更新的協議、接受相關培訓，并采用新的工作流程。

實施這些措施是為了應對黑客、競爭對手和外國間諜活動帶來的日益增長的風險。

電子產業在這一格局中扮演著舉足輕重的角色，它既是設備的創造者，也是設備的制造商，當這些設備與適當的軟件和人工智能相結合時，可能會在不經意間助長各種不友好的活動和現象。那么，我們該如何保護供應鏈的安全性和可追溯性呢？

在電子行業，我們有大量的標準來指導我們實現高可靠性。這些標準是針對從設計到組裝的整個生產周期制定的。其中還包括數據保護、數據傳輸和生產中的數據處理。數據處理的一部分是可追溯性、數據保護，以及確保供應鏈不受不友好的外部行為者的干擾。

為了幫助行業自我保護，IPC制定了一系列標準，以確保生產和供應鏈中的充分可追溯性，以及緩解與高安全產品和暴露于外國情報和潛在有害網絡攻擊的行業相關的網絡相關風險。遺憾的是，這些標準沒有得到充分利用，在行業討論公司自我保護工作時經常被忽視。

是專門負責制定這些標準的工作組白白浪費了時間，還是IPC未能引起人們對這些標準的重視？我對這個問題沒有確切的答案，但我傾向于進一步調查，以確定這些標準是否與我本人和我所代表的組織相關。

有關供應鏈安全和可追溯性的標準如下：

IPC-1782B-電子產品制造和供應鏈可追溯性標準

所有從事高可靠性工作的大型企業都需要對所用材料、工藝和生產批次進行追溯。主要原因是在檢測到故障時，盡可能將損失限制在少數產品上。根據故障的性質，我們可以將缺陷限制在某個生產面板、某個生產批次或某種材料上。根據我的經驗，如果我們在印刷電路板可追溯性標記中添加生產批號，而且工廠在其生產數據系統中有足夠的可追溯性來查找工藝和原材料批號數據，我們就能做到這一點。在NCAB，我們通過對PCB工廠的企業要求和對生產批次標記的要求來確保這一點。在所有工廠，我們都能追溯到所有相關的生產數據和原材料信息。

我還是D-33AA的聯合主席，D-33AA是負責IPC-6012XA的 IPC工作組，這是IPC-6012的汽車增編。我們討論過是否需要在該附錄中添加 IPC-1782B，但沒有達成共識，因為汽車行業已經通過 IATF16949 和高級產品質量規劃要求，制定了良好的可追溯性要求。

對我來說，這樣就不需要另一個像IPC-1782B這樣的可追溯性標準了。

IPC-1791D-可信賴的電子設計員、制造員和裝配員要求

這是一項側重于網絡安全和實施網絡安全成熟度模型認證（CMMC）的標準。該標準可能是 IPC制定的較少為人所知的標準之一。這有以下幾個原因，首先，IPC-1791D 專用于美國國防部相關產品，美國國防部重點保護美國國防工業供應鏈中的網絡安全，并幫助供應商遵守CMMC法規。該標準應使人們對交付產品的完整性有信心，確保質量、供應鏈風險管理（SCRM）、安全和監管鏈（ChoC），以及非美國印刷電路板設計、制造和組裝的可信來源認證。其目的是對符合IPC-1791標準的公司進行認證。不過，該認證并不包括國防部的設施許可，除非客戶有特殊要求，并獨立于該標準之外。

整個標準變得復雜，只要國防部提供豁免，至少在2025年底前達到CMMC標準，就很難理解其必要性和好處。但是，國防部的供應商，無論位于美國國內還是國外，都不應該得不到國防部定期提供的最新信息。

IPC-1792-制造業供應鏈網絡安全事件管理與緩解標準

IPC-1792旨在引導用戶創建一個安全的環境，在生產、數據交換、原材料裝運、供應商倉庫之間的產品裝運以及端到端過程中防止網絡攻擊，確保任何人都沒有機會調換包裝箱、交換箱內貨物，并最終以安全的方式送達買方。該標準的目的是消除在整個端到端制造過程中操縱軟件和硬件的機會，確保按照原設計者的預期制造產品。

在NCAB集團，我們在整個供應鏈中都有值得信賴的供應商，這毋庸置疑。但是即便如此，談到這個標準也會讓你感到不舒服。這個世界真的如此殘酷嗎？答案取決于您的產品、您客戶的產品，以及您的工廠是否可能受到競爭對手、您客戶的競爭對手或其他國家的操縱。答案是肯定的，我們的利益都是相同的。

在這三項標準中，我覺得這一項最值得閱讀，也最值得在企業內部討論。這是否意味著我們將執行該標準？也許不會，但作為我們整體風險評估的指南，它是很好的讀物。

那么，這篇文章能給我們帶來什么啟示呢？這個世界足夠殘酷，我們需要采取措施確保供應鏈中的業務安全，并抵御潛在風險。選擇一個可靠的合作伙伴，能夠最大程度幫助您減少風險發生的概率，從而確保您產品供應鏈的長期可持續。

審核編輯 黃宇