供应链网络安全与第三方风险管理
英国国家网络安全中心(NCSC)——隶属于政府通信总部(GCHQ)——已发布更新指南,旨在协助各类组织有效评估其供应链的网络安全状况并增强信心。
最新指南旨在帮助组织在五个阶段落实国家网络安全中心的12项供应链安全原则:
1) 启动前准备
2) 制定供应链网络安全评估方案
3) 将方案应用于新供应商关系
4) 将方案融入现有供应商管控体系
5) 持续改进优化
相关要求
-
了解您所在组织在网络安全风险管理方面的做法
-
在新供应商的整个合同生命周期中实施新的安全措施,涵盖从采购和供应商选择到合同终止的各个环节。
-
随着新问题的出现,定期优化您的方法将降低风险通过供应链进入组织的概率。
-
建立一套可重复、一致的方法来评估供应商的网络安全状况
-
在续签现有合同时进行审查,涉及关键供应商时则应提前审查。
满足NCSC供应链网络安全要求
以下是Prevalent如何帮助您满足英国国家网络安全中心《供应链网络安全指南》中提出的要求:
NCSC 指导意见
最佳实践考量
第一阶段:开始之前
根据NCSC指南,第一阶段的目标是"了解本组织在网络安全风险管理方面的做法"。这一初步规划阶段需要理解:
- 贵组织所面临的风险;
- 组织中哪些人员应参与供应链网络安全决策;以及
- 组织应如何评估风险。
了解为何贵组织应关注供应链网络安全
根据近期行业研究显示,45%的企业在过去12个月内遭遇过第三方数据或隐私泄露事件。以下列举若干近期案例及其引发的安全影响:
丰田——财务和运营损失
2022年2月,丰田因主要塑料供应商小岛工业发生数据泄露事件而暂停日本境内所有业务。由于小岛工业拥有远程访问丰田制造工厂的权限,导致丰田面临的风险大幅增加。此次临时停产造成丰田遭受财务和运营双重损失。
SolarWinds——诉讼、罚款、客户信任流失
俄罗斯国家行为体入侵了Orion软件产品,该产品随后作为定期计划更新的一部分推送给SolarWinds客户。此举使网络犯罪分子得以访问数千家公司的系统和数据。SolarWinds正面临诉讼、罚款、国会听证等一系列后果,其客户对该公司的信任将在未来数年内受到影响。
回答以下关键问题:
- 贵组织能否在供应链遭遇网络攻击时保持韧性?
- 你能识别网络攻击者的目标吗?是数据吗?
- 你能识别出网络攻击者最可能采取的攻击路径吗?
如果上述任何问题的答案为“否”,则必须评估网络供应链中的薄弱环节,并制定计划以减轻这些风险。
识别组织中的关键人物
配备合适的人员来支持供应链网络安全,将有助于推动所需的变革。
参与者可包括来自采购与供应链管理、风险管理、安全与信息技术、法律与合规、以及数据隐私团队的代表。之所以需要这么多团队参与供应链网络风险管理流程,是因为每个部门往往只关注与其职责相关的风险。
IT安全与隐私团队必须确定已实施哪些控制措施来保护数据和系统访问权限,若供应商发生数据泄露事件,其影响程度如何,以及是否存在来自第四方的过度风险。
采购团队可能需要评估供应商的财务或信用记录是否存在任何问题,或该供应商是否存在声誉问题。
合规与法律团队将需要了解供应商是否因数据隐私、环境、社会与治理、贿赂或制裁问题而受到警示。
风险管理团队需要了解供应商所在地区是否易受自然灾害影响或存在地缘政治动荡。
首先,建立RACI矩阵以明确组织中各方的职责:
- 负责管理风险
对结果负责 - 咨询了
- 及时了解流程和结果
最后,通过以下方式获得高层管理人员和董事会的支持:
- 呈现供应链对组织当前风险敞口的综合视图
- 传达当前风险状况及降低风险的措施
- 确定需要高管支持的领域
了解贵组织如何评估风险
风险分类的常用方法是通过“热力图”进行评估,该图在两个维度上衡量风险:发生概率与运营影响。显然,在两个维度上评分均高的风险(例如位于右上象限)应优先于评分较低的风险。
第二阶段:制定供应链网络安全评估方案
第二阶段指南要求“建立可重复、一致的方法来评估供应商的网络安全”。该阶段包括:
- 了解组织应保护哪些资产;
- 定义保护资产所需的理想安全控制措施;以及
- 确定如何评估供应商及处理不合规行为。
优先保护组织的“核心资产”
确定贵组织中需要重点保护的关键环节。
创建该方法的关键组件,包括:
- 需分配给每个供应商的安全配置文件
- 用于确定每个供应商安全状况的问题
- 每个配置文件的网络安全要求
- 管理层计划追踪供应商对安全要求的合规情况
- 需在供应商合同中插入的网络安全条款
在创建供应商安全档案之前,需评估其可能给公司带来的固有风险。计算固有风险时,请参考以下框架:
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度(避免集中风险)
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
通过运用此内在风险评估的洞察,您的团队能够自动对供应商进行分级和画像;制定具体合同条款以落实标准;设定适当的进一步尽职调查层级;确定持续评估的范围;并在出现不合规情况时明确整改措施。
为追踪安全要求的合规性,建议采用《网络安全基本要求》、ISO标准或其他普遍采用的信息安全控制框架进行标准化评估。
第三阶段:将该方法应用于新供应商关系
在第三阶段,NCSC指南建议将"新的安全实践贯穿于新供应商的整个合同生命周期,从采购和供应商选择直至合同终止"。这包括监督合同条款的遵守情况,并确保团队在整个过程中始终保持对其职责的清醒认识。
培训团队
确保参与供应商评估的人员接受过网络安全培训。
考虑要求负责供应商关系的员工获得个人安全认证,或支持组织获得网络安全基础认证(Cyber Essentials)或ISO 27036-2认证。
在合同整个有效期内实施网络安全控制措施
在整个合同生命周期中考虑网络安全:从决定外包、供应商选择、合同授予、供应商交付到终止。思考可采取哪些措施确保每次采购都能落实网络安全。
本指南要求组织在供应商生命周期的每个阶段都需关注风险,包括:
- 在作出供应商选择决定前,通过获取潜在供应商的网络安全洞察或数据泄露历史信息,开展合同前尽职调查。
- 对供应商进行评分和分类,以便您了解如何对其进行分级处理以及需要进行哪些持续尽职调查。
- 通过实时网络监控数据验证评估结果
- 集中管理所有合同及与安全相关的合同属性
- 评估供应商效能,包括关键绩效指标(KPI)、关键风险指标(KRI)及服务水平协议(SLA)与合规措施的对比,以确保供应商满足合同要求。
- 以确保合同遵守、数据销毁及最终事项核对完成的方式逐步终止合作关系
监控供应商安全绩效
在供应商入职、合同续签时或按要求频率(如季度或年度)开展网络安全评估。确保评估工作具备工作流管理、任务管理及自动化证据审查能力作为支撑。
随后,通过持续监控互联网和暗网中的网络威胁与漏洞,对第三方面临的外部威胁进行追踪分析。监控来源应包括:犯罪论坛;洋葱页面;暗网特殊访问论坛;威胁情报源;泄露凭证粘贴网站;安全社区;代码仓库;漏洞数据库;以及数据泄露数据库。
将所有监控数据与评估结果关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及响应措施。
第四阶段:将该方法整合到现有供应商合同中
在第四阶段,NCSC建议审查"现有合同——在续签时进行,涉及关键供应商时则应提前审查"。该指导意见假定存在一定程度的合同生命周期管理。
识别现有合同
对合同进行风险评估
支持您的供应商
审查合同条款
集中管理供应商合同的分发、讨论、存档和审核流程,确保所有相关团队都能参与合同审查,以确保包含适当的安全条款。管理供应商合同时需考虑的关键实践包括:
- 合同集中存储
- 所有合同及其属性的追踪,包括类型、关键日期、金额、提醒事项和状态——支持基于角色的自定义视图
- 工作流程功能(基于用户或合同类型),实现合同管理生命周期自动化
- 自动提醒和逾期通知,以简化合同审查
- 集中化合同讨论与意见追踪
- 合同和文件存储,具有基于角色的权限,并对所有访问进行审计跟踪
- 支持离线合同和文件编辑的版本控制跟踪
- 基于角色的权限,可分配职责、访问合同和读/写/修改访问权限
向董事会汇报进展
首先明确关键绩效指标(KPI)与关键风险指标(KRI)的区别及其关联性。
- 关键绩效指标(KPI)用于衡量职能和流程的有效性。
- 关键风险指标(KRIs)揭示了组织面临的风险程度以及应采取哪些风险应对措施。
在衡量关键绩效指标(KPI)和关键风险指标(KRI)时,请按以下方式进行分类:
- 风险衡量有助于理解与供应商开展业务的风险,以及相关的风险缓解措施。
- 威胁测量与风险存在一定重叠,并能提供更全面且经过验证的风险视角。
- 合规性评估用于判定供应商是否符合贵公司的内部控制要求。
- 覆盖率测量旨在回答以下问题:“我是否已全面覆盖供应商足迹?这些供应商是否已分层并得到相应对待?”
然后,务必将结果与合同条款挂钩,以实现对整个流程的全面管控。
最后,确保团队能够准确理解董事会应获取何种信息。此方法应能使团队:
- 向组织呈现供应链当前风险敞口的综合视图
- 通报关键供应商当前状态,这些供应商正为公司重大项目提供支持
- 展示威胁情报来源所揭示的固有风险与残余风险,以证明随时间推移降低风险的进展。
- 确定需要管理层支持的领域
第五阶段:持续改进
NCSC指南的最后阶段指出:“随着新问题的出现,定期完善您的方法将降低风险通过供应链进入您组织的概率。”
定期评估该方法及其组成部分
在供应商生命周期的每个阶段,持续审查组织的供应链网络安全计划。审查的关键领域包括:
- 职责分工(例如RACI)
- 供应商安全档案
- 基于组织风险承受能力的风险评分与阈值设定
- 基于第三方
关键性的评估与监测方法论 - 第四方与第N方在关键服务交付中的参与
- 持续监控数据来源(网络安全、业务运营、
声誉管理、财务状况) - 关键绩效指标(KPI)和关键风险指标(KRI)
- 管理政策、标准、系统和流程,以保护
的系统和数据
服务等级的合规性与合同报告要求- 事件响应流程
- 内部利益相关方报告
- 风险缓解和补救战略
保持对不断演变的威胁的警惕,并据此更新应对措施。
保持对新兴威胁的警惕,并运用所获知识相应地更新供应链网络安全措施。
持续追踪并分析第三方面临的外部威胁,通过监控互联网和暗网中的网络威胁与漏洞,以及公共和私有渠道的声誉、制裁和财务信息来源。
将所有监控数据与评估结果关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及响应措施。
监测来源应包括
- 犯罪论坛;成千上万的洋葱页面;暗网特殊访问论坛;威胁源;以及用于粘贴泄漏凭证的网站--还有一些安全社区、代码库和漏洞数据库
- 公共与私有声誉信息来源,包括并购活动、商业新闻、负面新闻、监管与法律信息、运营动态更新等。
- 财务业绩,包括营业额、损益、股东资金等。
- 全球新闻来源
- 政治敏感人物档案
- 全球制裁名单
与供应商合作
制定整改方案,包含供应商可遵循的建议以降低残余风险。为供应商提供上传证据的论坛,就具体整改措施进行沟通,并配备安全的审计追踪功能以追踪整改直至完成。
