供应链安全事件占据头条新闻,几乎每天都有新的漏洞被曝光——无论是SolarWinds或Okta这类软件入侵事件,还是丰田遭遇的供应链攻击。最近微软也宣布了一起与密钥泄露相关的入侵事件,该漏洞导致客户数据遭到非法访问。
随着第三方攻击持续不断,安全团队不禁要问:接下来会发生什么?
NIST CSF与第三方风险管理
对于许多组织而言,答案是:您需要通过运用最佳实践、指导方针和基准来完善第三方风险管理(TPRM)体系。这类指导通常源自通用网络安全框架,例如美国国家标准与技术研究院(NIST)的网络安全框架(CSF)。 随着NIST CSF 2.0版本的最终发布,重大变革将影响您设计和实施TPRM计划以应对这些风险的方式。
本文将探讨NIST CSF中最具影响力的第三方风险管理(TPRM)与C级风险管理(C-SCRM)变更,审视其核心职能,并就如何将其纳入第三方风险管理计划提出最佳实践建议。
NIST CSF 2.0版本中3项影响重大的TPRM更新
1. 新治理功能
治理功能的引入彰显了网络安全治理对管理和降低供应链中网络安全风险的重要性。此前分布于其他功能(识别、保护、检测、响应和 恢复)中的治理内容现已整合至治理功能。根据拟议变更,网络安全治理涵盖以下方面:
- 确定组织、客户及社会的优先级和风险容忍度
- 评估网络安全风险及其影响(包括第三方)
- 制定网络安全政策和程序
- 理解网络安全职责分工
根据美国国家标准与技术研究院(NIST)的定义,这些活动对于检测、响应和恢复网络安全相关事件至关重要,同时也是监督组织内执行网络安全活动的团队的关键环节。
随着组织对第三方关键服务和技术的依赖日益加深,建立强有力的治理机制已成为系统化、规范化管理相关风险的关键所在。在NIST CSF 2.0框架中纳入治理职能,正是通过将第三方风险管理实践与更广泛的企业治理框架相衔接,有效满足了这一需求。
治理职能的关键第三方风险管理功能:
设立专门的治理职能部门,将有助于协调整合第三方网络安全活动及流程,使其贯穿于第三方风险管理、企业风险管理及法律团队的工作体系。需注意的要点包括:
加强问责与决策:
CSF 2.0的治理功能强调在网络安全计划中明确划分角色与职责的重要性,尤其针对第三方风险管理。通过建立问责机制,组织可将第三方风险管理纳入整体治理框架,避免其碎片化发展。该功能倡导明确供应商风险评估、合同管理及持续合规监控的责任归属,从而降低系统漏洞。 此外,治理功能还推动建立正式流程来评估第三方风险,并就供应商选择与监督做出明智决策,确保这些选择符合组织的风险承受能力及网络安全目标。
政策制定与合规:
治理职能鼓励组织制定涵盖第三方风险管理各个环节的政策,从供应商选择到持续监控及事件响应。这些政策确保供应商满足安全要求,例如遵守特定标准、接受审计或实施安全控制措施。此外,治理职能还涉及内部政策与外部法规的合规性,帮助组织将第三方风险管理与HIPAA或FFIEC等行业标准保持一致,从而确保合规并规避处罚风险。
风险监督与持续改进:
NIST CSF 2.0 治理框架强调在第三方风险管理中持续监督与改进的重要性。这一理念在"识别"类别的"改进"部分亦有体现。"治理"功能要求组织建立定期审查和更新第三方风险管理实践的流程,从而使其能够根据威胁态势和第三方关系的变化灵活调整策略。
持续改进可能包括重新评估供应商的安全态势、开展审计以及审查第三方事件报告。还涉及更新合同和服务级别协议(SLA),以应对新的网络安全风险或监管要求。将这些活动纳入治理体系,可确保对第三方风险进行持续监控和缓解。
2. 法律与合规团队职责的扩大
与治理职能的增设相呼应,CSF 2.0 强调了法律与合规团队的作用。在交易方风险管理(TPRM)领域,这些团队需要供应商、经销商及其他可能接触敏感数据、系统和应用程序的第三方机构提供准确及时的报告。
3. 加强供应链风险指导
对TPRM团队而言,CSF 2.0最具影响力的更新在于强化了供应链风险管理的指导原则。 CSF 2.0新增了网络安全供应链风险管理(C-SCRM)成果指标,以协助组织应对这些特殊风险。该框架指出:"C-SCRM的核心目标是根据供应商关键性及风险评估,将适当的第一方网络安全风险管理考量延伸至第三方、供应链以及组织采购的产品与服务。"
供应链风险管理类别已扩展至新设立的治理职能。该职能包含多项新规定,涵盖将网络安全纳入合同条款、合同终止机制,以及对组织环境中第三方风险的持续评估。
下一步操作:下载完整的NIST CSF 2.0检查清单
2024年2月最终确定的2.0版本,可帮助组织将全面的第三方风险管理(TPRM)和客户安全风险管理(C-SCRM)更有效地融入运营体系,涵盖从治理到风险管理及网络安全的各个环节。通过规范第三方关系的治理架构、确保责任落实、制定严谨政策并推动持续监督,CSF 2.0为应对第三方带来的复杂风险提供了全面框架。
观看我与Prevalent合作的点播网络研讨会,深入了解NIST CSF 2.0如何整合TPRM(威胁与风险管理)及网络安全供应链风险管理控制措施。同时诚邀您下载Prevalent开发的全面NIST CSF 2.0检查清单,该清单详细剖析了治理职能及其供应链风险管理控制措施。
如需了解有关适用于NIST CSF 2.0的PrevalentTPRM解决方案的更多信息,请立即预约演示。
NIST CSF 框架结构
CSF(网络安全框架)由六项核心职能构成:治理、识别、防护、检测、 响应和恢复。这些核心职能以成果为导向,美国国家标准与技术研究院(NIST)并不将其视为行动清单。核心职能的示意图如下所示。
美国国家标准与技术研究院(NIST)网络安全框架的六大核心功能。来源: NIST。
1. 治理
在2.0版本中引入的新职能"治理"具有基础性作用,旨在指导组织如何在其更广泛的企业风险管理战略框架下实现并优先处理其他五项职能的成果。该职能涵盖对网络安全战略、角色、职责、政策、流程及程序的监督,并集中管理网络安全供应链风险管理指导方针。
2. 识别
识别功能旨在建立对组织资产(例如数据、硬件、软件、系统、设施、服务和人员)及其相关网络安全风险的理解。
3. 保护
保护功能提供具体指导,旨在保障资产安全以降低网络安全事件发生的概率及其影响。涵盖内容包括:安全意识培训、数据安全、身份管理、认证与访问控制、平台安全(即保障物理与虚拟平台的硬件、软件及服务安全),以及技术基础设施的弹性能力。
4. 检测
检测功能旨在实现异常情况、入侵指标及其他潜在恶性网络安全事件的发现与分析。
5. 回应
响应功能包含控制网络安全事件影响的指导方针,例如事件管理、分析、缓解、报告和沟通。
6. 恢复
恢复功能包含恢复正常运营的指导方针,以减轻网络安全事件的影响。
几乎每个职能都包含直接适用于第三方风险管理和网络安全供应链风险管理的类别及子类别。例如,"识别"职能更侧重于资产与风险的识别,包括第三方系统和服务。建议组织对第三方进行尽职调查,以识别漏洞并确保其符合网络安全标准。 保护与检测职能则提供实施安全控制的指导方针,以减轻第三方风险,例如监控访问权限并确保供应商遵守安全政策。
治理职能:深入解析网络安全供应链风险管理
注:此表仅为摘要,并非NIST分类的完整列表。如需查看NIST CSF全貌,请下载完整版文档。请与内部审计团队及外部审计师协作,确定应重点关注的分类及子分类。
| 功能、类别和子类别 | 最佳做法 |
|---|---|
| 管理(GV):制定、传达和监督组织的网络安全风险管理战略、预期和政策 | |
| 网络安全供应链风险管理(GV.SC):由组织利益相关方识别、建立、管理、监控并改进网络供应链风险管理流程。 | |
|
GV.SC-01: 组织利益相关方已建立并认可网络安全供应链风险管理计划、战略、目标、政策及流程。
GV.SC-02:供应商、客户及合作伙伴的网络安全职责与责任已建立,并在内部与外部进行传达与协调。 GV.SC-03:网络安全供应链风险管理已融入网络安全及企业风险管理、风险评估与改进流程之中。 |
建立全面的第三方风险管理(TPRM)或网络安全供应链风险管理(C-SCRM)计划,与更广泛的信息安全和治理、企业风险管理和合规计划保持一致。
* 寻找专家与您的团队协作: 在此过程中,您应明确以下内容: |
| GV.SC-04:供应商已知且按重要性优先排序 |
将第三方库存集中管理于软件解决方案中。随后,量化 固有风险 适用于所有第三方。用于计算第三方优先级内在风险的标准应包括:
* 验证控制所需的内容类型 通过这种固有的风险评估,您的团队可以自动对供应商进行分级;设定适当的进一步审查级别;并确定持续评估的范围。 基于规则的分层逻辑应通过综合考量数据交互、财务状况、监管合规及声誉风险等因素,实现供应商分类。 |
| GV.SC-05:针对供应链中的网络安全风险,已建立相关要求,并按优先级排序,将其纳入与供应商及其他相关第三方签订的合同及其他类型的协议中。 |
集中管理文件的分发、讨论、归档与审核 供应商合同 实现合同生命周期的自动化管理,确保关键条款得到执行。核心功能应包括:
* 集中管理所有合同及其属性(如类型、关键日期、金额、提醒事项和状态),支持基于角色的自定义视图 有了这种能力,您就可以确保在供应商合同中明确规定责任和审计权条款,并相应跟踪和管理 SLA。 |
| GV.SC-06:在建立正式供应商或其他第三方关系前,需通过规划与尽职调查来降低风险。 |
通过单一解决方案集中化并自动化提案请求(RFP)和信息请求(RFI)的分发、比较与管理,实现关键属性的对比分析。
在对所有服务提供商进行集中管理和审查时,团队应创建全面的供应商档案,其中包含对供应商人口信息、第四方技术、ESG 分数、近期业务和声誉洞察、数据泄露历史以及近期财务业绩的深入了解。 这种程度的尽职调查为供应商选择决策提供了更多的背景资料。 |
| GV.SC-07:在合作关系存续期间,对供应商及其产品、服务以及其他第三方所带来的风险进行识别、记录、优先级排序、评估、应对及监控。 |
寻找提供大量预制模板库的解决方案 第三方风险评估评估应在入职时、合同续签时或根据重大变更情况按规定频率(如每季度或每年)进行。
评估应集中管理,并以工作流、任务管理和自动证据审查功能为后盾,以确保您的团队在整个关系生命周期中对第三方风险具有可见性。 重要的是,TPRM 解决方案应包括基于风险评估结果的内置补救建议,以确保您的第三方及时、令人满意地处理风险,并能向审计人员提供适当的证据。 在此过程中,需持续追踪并分析第三方面临的外部威胁。密切监控互联网及暗网中的网络威胁与漏洞,同时关注公共及私有渠道的声誉、制裁及财务信息来源。 所有监测数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 确保纳入第三方运营、声誉和财务数据,以增加网络调查结果的背景,并衡量事件随着时间推移产生的影响。 |
| GV.SC-08:相关供应商及其他第三方被纳入事件规划、响应及恢复活动 |
作为更广泛的 事件管理策略 确保您的第三方事件响应计划能够让团队快速识别、应对、报告第三方事件,并减轻其影响。 供应商安全事件寻找托管服务,由专职专家集中管理您的供应商;主动开展事件风险评估;对识别出的风险进行评分;将风险与持续网络监控情报关联;并发布补救指导。托管服务可大幅缩短识别受网络安全事件影响的供应商所需时间,并确保补救措施到位。
第三方事件响应服务的主要功能应包括 * 持续更新且可定制的事件与事故管理问卷 此外,还可考虑利用包含全球数千家公司数年数据泄露历史记录的数据库,包括被盗数据的类型和数量、合规性和监管问题,以及实时供应商数据泄露通知。 有了这些洞察力,您的团队就能更好地了解事件的范围和影响;涉及哪些数据;第三方的运营是否受到影响;以及补救措施何时完成--所有这一切都要借助专家的力量。 |
| GV.SC-09:供应链安全实践已融入网络安全和企业风险管理计划,其执行情况在技术产品及服务生命周期内持续接受监控。 | 请参阅GV.SC-01和GV.SC-02。 |
| GV.SC-10:网络安全供应链风险管理计划应包含针对合作关系或服务协议终止后相关活动的条款。 |
在GV.SC-05推荐的最佳实践基础上,实现合同评估自动化。 离职流程 降低贵组织合同签订后风险暴露的措施。
* 设置任务计划以审查合同,确保所有义务均已履行 |
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
