美国国家标准与技术研究院(NIST)是美国商务部下属的一个联邦机构,其职责包括为联邦机构制定计算机和信息技术相关标准和指南。特别出版物 (SP)800-161 就是 NIST 的指导方针之一。NIST SP 800-161 是NIST SP 800-53的补充框架,可用于制定、评估、应对和监控网络安全供应链风险。
SP 800-161 将网络安全供应链风险管理 (C-SCRM)纳入风险管理活动,采用多层次的 C-SCRM 特定方法。它为制定 C-SCRM 战略实施计划、C-SCRM 政策、C-SCRM 计划以及产品和服务的风险评估提供了指导。由于其主题全面,该标准已成为全球采用的实施和维护供应链风险管理控制的框架。
本文章将结合 NIST SP 800-161r1 的其他指导,探讨 SP 800-53r5 供应链风险管理控制系列 (SR) 中适用的网络安全供应链风险管理控制。它确定了您可以用来满足 NIST 要求的最佳实践能力,以加强供应链安全。
NIST 网络安全供应链风险管理控制措施
注意:** **本职位仅包括供应链风险管理控制系列 (SR) 中的部分 C-SCRM 控制措施。有关控制措施的完整清单,请详细查阅[完整的 SP 800-161 指南](https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final),并咨询您的审计人员。
| 第 1 栏 | 第 2 栏 |
|---|---|
| SP 800-53r5 供应链特定控制和适用 SP 800-161r1 网络安全风险管理指南 | 最佳实践能力 |
| SR-1 政策和程序 开发、记录和传播: 适用的 SP 800-161r1 网络安全风险管理指南: ......企业职能部门(包括但不限于信息安全、法律、风险管理和采购部门)应审查并同意 C-SCRM 政策和程序的制定,或为系统所有者制定特定系统的 C-SCRM 程序提供指导。 SR-2 供应链风险管理计划 a.制定与系统、系统组件或系统服务的研发、设计、制造、采购、交付、集成、运营和维护以及处置相关的供应链风险管理计划 适用的 SP 800-161r1 网络安全风险管理指南: C-SCRM 计划描述了系统层面的实施、要求、限制和影响......。......C-SCRM计划应作为独立文件制定,只有在企业限制要求的情况下才纳入现有的系统安全计划。 SR-3 供应链控制和流程 a.与供应链人员协调,建立一个或多个流程,以确定并解决供应链要素和流程中的薄弱环节或缺陷; 适用的 SP 800-161r1 网络安全风险管理指南: ......各部门和机构应......根据关于改善国家网络安全的第 14028 号行政命令执行本指南。 | 建立全面的第三方风险管理(TPRM)或网络安全供应链风险管理(C-SCRM)计划,与更广泛的信息安全与治理、企业风险管理和合规计划保持一致。 寻找专家与您的团队合作: 作为这一过程的一部分,您应该确定 根据不断变化的业务需求和优先事项,持续评估 TPRM 计划的有效性,通过关系生命周期来衡量第三方供应商的关键绩效指标 (KPI) 和关键风险指标 (KRI)。 |
| SR-4 (4) 原产地 | 供应链完整性 - 血统 通过验证关键或任务必要技术、产品和服务的内部构成和来源,实施控制和分析,确保系统和系统组件的完整性。 适用的 SP 800-161r1 网络安全风险管理指南: 应在整个 SDLC 过程中记录系统、系统组件和相关数据的出处。企业应考虑为适用和适当类别的软件制作 SBOM,包括外购软件、开源软件和内部软件... | 作为尽职调查流程的一部分,要求供应商提供其软件产品的最新软件物料清单(SBOM)。这将有助于您识别任何可能影响组织安全性和合规性的潜在漏洞或许可问题。 |
| SR-5 采购战略、工具和方法 采用采购战略、合同工具和采购方法来防范、识别和降低供应链风险。 适用的 SP 800-161r1 网络安全风险管理指南: ......各部门和机构应......根据关于改善国家网络安全的第 14028 号行政命令执行本指南。 | 在单一解决方案中集中并自动分发、比较和管理招标书(RFP)和信息征询书(RFI),并对关键属性进行比较。 在对所有服务提供商进行集中管理和审查时,团队应创建全面的供应商档案,其中包含对供应商人口信息、第四方技术、ESG 分数、近期业务和声誉洞察、数据泄露历史以及近期财务业绩的深入了解。 这种程度的尽职调查为供应商选择决策提供了更多的背景资料。 |
| SR-6 供应商评估和审查 评估和审查与供应商或承包商及其提供的系统、系统组件或系统服务有关的供应链相关风险。 适用的 SP 800-161r1 网络安全风险管理指南: 一般而言,企业应考虑与供应商或其提供的服务或产品的安全性、完整性、复原力、质量、可信度或真实性有关的任何信息。企业应考虑根据一套一致的核心基线因素和评估标准来应用这些信息,以便(在供应商和超时之间)进行公平比较。根据具体情况和评估目的,企业可选择其他因素。评估所依赖的信息质量(如相关性、完整性、准确性等)也是一个重要的考虑因素。还应记录评估信息的参考来源... | 持续跟踪和分析 对第三方的外部威胁.作为其中的一部分,监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和金融信息的公共和私人来源。 监控来源通常包括 所有监控数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 |
| SR-8 通知协议 与参与系统、系统组件或系统服务供应链的实体制定协议和程序,以通报供应链受损情况以及评估或审计结果。 适用的 SP 800-161r1 网络安全风险管理指南: 企业至少应要求其供应商与供应链中与关键服务或产品相关的实体签订通知协议... | 集中分发、讨论、保留和审查供应商合同,实现合同生命周期自动化,确保关键条款得到执行。主要功能包括 * 集中跟踪所有合同和合同属性,如类型、关键日期、价值、提醒和状态,并提供基于角色的定制视图 * 工作流程功能(基于用户或合同类型),实现合同管理生命周期自动化 * 自动提醒和逾期通知,以简化合同审查 * 集中合同讨论和意见跟踪 * 合同和文件存储,具有基于角色的权限和所有访问的审计跟踪 * 版本控制跟踪,支持离线合同和文件编辑 * 有了这项功能,您就可以确保在供应商合同中阐明明确的责任和审计权条款,并对 SLA 进行相应的跟踪和管理。 |
| SR-13 供应商库存 编制、记录和维护一份供应商清单,其中包括 适用的 SP 800-161r1 网络安全风险管理指南: 企业依靠众多供应商来执行任务和履行职能。许多供应商提供的产品和服务支持多个任务、功能、计划、项目和系统。根据其产品和服务所支持的任务、功能、计划、项目和系统的关键性,以及企业对供应商的依赖程度,有些供应商比其他供应商更关键。企业应使用关键性分析来帮助确定哪些产品和服务至关重要,以确定供应商的关键性,并将其记录在供应商清单中... | 将对供应商的所有深入了解集中到一个供应商档案中,以便与供应商打交道的所有部门都能利用相同的信息,提高可见性和决策性。 通过电子表格模板或与现有采购解决方案的 API 连接导入供应商,从而消除容易出错的手动流程。 使用集中化、可定制的接收表单和相关工作流程填充关键供应商详细信息。每个人都可以通过电子邮件邀请获得这些信息,无需任何培训或解决方案专业知识。 建立全面的供应商档案,对供应商的人口统计、地理位置、第四方技术和最近的运营情况进行比较和监控。有了这些积累的数据,您就能报告地理和技术集中的风险,并采取相应的措施。 |
Prevalent 如何帮助满足 NIST SP 800-161 网络安全供应链风险管理指南的要求
Prevalent 为扩大第三方风险管理和网络安全供应链风险管理提供了一个中央自动化平台。利用 Prevalent,您的团队可以
- 根据企业更广泛的网络安全供应链和企业风险管理计划,建立最佳实践的第三方风险管理计划
- 利用对多个风险领域的综合洞察力,实现 RFx 流程自动化,并做出更明智的供应商尽职调查决策
- 集中分发、讨论、保留和审查供应商合同,以确保包含关键安全要求、就关键绩效指标(KPI)达成一致并加以执行
- 建立单一供应商清单,衡量内在风险,为服务提供商的概况、分层和分类提供信息,并确定持续尽职调查活动的适当范围和频率
- 在第三方生命周期的每个阶段自动进行风险评估和补救
- 通过监控互联网和暗网的网络威胁和漏洞,持续跟踪和分析第三方面临的外部威胁
有关 Prevalent 如何帮助满足 NIST 准则的更多信息,请立即申请解决方案演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
