NERC 供应链网络安全风险管理生命周期安全指南

识别、评估并缓解关键基础设施面临的网络风险

为应对普遍存在的供应链安全漏洞，北美电力可靠性公司（NERC）发布了《供应链网络安全风险管理生命周期安全指南》。

该指南建议电力公用事业、天然气供应商等关键基础设施组织识别、评估并缓解其关键运营技术（OT）资产面临的供应链网络安全风险。运营技术系统中断（例如由供应链事件引发的）可能导致公用事业中断，并造成广泛而负面的社会影响。

以下是Prevalent如何帮助您落实NERC第三方风险管理最佳实践：

第一章：识别风险

该组织在供应链网络安全风险管理流程中的首要目标，是识别其关键运营技术资产所面临的风险——这些风险可能造成重大影响，或存在较高的被破坏可能性，具体取决于供应商的情况。

Prevalent 提供以下功能以满足此需求：

Prevalent平台支持您开展供应商画像与分级评估，以追踪并量化所有供应商的固有风险。基于此固有风险评估，您的团队可自动对供应商进行分类分级（包括识别关键供应商）；据此基准设定相应的后续尽职调查层级；并确定持续评估的范围。

第二章：风险评估

一旦组织识别出风险，就需要对其供应商进行评估，以确定他们在每个已识别风险方面所构成的风险程度；在大多数情况下，供应商评估将通过问卷调查的方式进行。

Prevalent 使您能够自动化风险评估，从而在供应商生命周期的每个阶段扩展供应链风险管理计划的可见性、效率和规模。

Prevalent平台提供数百种标准化评估模板库，具备定制化功能及内置工作流与补救措施，可自动化处理从调查收集分析到风险评级与报告的全部流程。请确保您选择的评估平台包含针对关键基础设施报告和最佳实践的专项评估，例如美国国家标准与技术研究院（NIST）《关键基础设施网络安全改进框架》。

作为风险评估流程的一部分，需持续追踪并分析供应商面临的外部威胁，通过监控互联网及暗网中的网络威胁与漏洞实现。监控来源应涵盖：犯罪论坛、洋葱页面、暗网特殊访问论坛、威胁情报源、泄露凭证粘贴站、安全社区、代码仓库、漏洞数据库及数据泄露数据库。

在此阶段，一项关键能力是将持续监控结果与评估响应相关联，以验证控制措施的有效性。若仅使用电子表格进行风险评估或采用分散的网络安全监控工具，则无法实现这一目标。

第三章：风险缓解

第三章建议组织要求供应商对评估中识别出的风险采取缓解措施。风险缓解的目标应是将风险价值降低至可接受水平，从而减少风险发生的概率和/或影响程度。指南指出可通过招标文件或合同条款强制执行实现此目标，但合同后强制执行的补救措施同样重要。以下摘录指南中部分风险缓解措施：

在招标文件中明确列出安全风险，并规定供应商必须采取的风险缓解措施。

Prevalent将提案请求（RFP）和信息请求（RFI）的分发、比较及管理集中化并自动化处理，作为供应商选择决策的重要环节。该系统确保供应商的遴选基于关键网络安全措施。

合同条款应包含供应商承诺实施特定安全控制措施的书面说明，允许组织方审查供应商的实施进度，并明确未来就相关事项进行沟通的具体方式。

Prevalent 使您能够集中管理供应商合同的分发、讨论、保留和审查。通过这种方式管理供应商合同，可确保合同中包含适当的安全条款和执行机制。

制定具体的补救措施。

Prevalent平台根据风险评估结果，为供应商提供建议整改方案，确保供应商及时有效地解决风险问题。该平台还支持您追踪整改措施直至完成，明确责任人——无论是在您组织内部还是供应商组织内部。

第四章：采购与安装

指南第四章要求在产品或服务的整个生命周期中考虑供应链网络安全风险缓解措施，以降低最初评估为高风险的风险等级。

借助Prevalent平台，您可在采购流程启动时进行基准采购风险评估，随后可执行：

第五章：更新风险管理计划

指南第五章建议供应链网络安全风险管理计划至少每年更新一次。这将涉及识别新风险、重新评估供应商，并据此审查缓解措施——必要时需重复执行第一至第三章所述任务。

Prevalent 使您能够优化项目，全面应对供应商风险生命周期，通过轻松实现持续更新：