NIST CSF与第三方风险管理
美国国家标准与技术研究院(NIST)于2014年根据《第13636号行政命令》推出《网络安全框架》(CSF),旨在保障关键基础设施安全。尽管NIST制定的诸多指南主要用于保护美国联邦政府系统、数据及关键基础设施,但CSF专为需要评估网络安全风险的任何企业或私营组织而设计。
2024年2月,美国国家标准与技术研究院(NIST)发布了2.0版指南。新版指南包含多项修订,旨在应对日益严峻的第三方风险及网络安全供应链风险管理(C-SCRM)挑战。
相关要求
- 制定并监督组织的网络安全风险管理策略、预期目标及政策
- 采取安全防护措施以预防或降低网络安全风险
- 针对已检测到的网络安全事件采取行动
- 协助确定当前组织面临的网络安全风险
- 发现并分析潜在的网络安全攻击和安全漏洞
- 恢复因网络安全事件而受影响的资产和运营
应对NIST CSF 2.0指南
《网络安全框架》提供了一套网络安全成果(按功能、类别和子类别排列);实现这些成果的示例(称为实施示例);以及关于如何实现这些成果的补充指导参考(称为信息性参考)。下表梳理了与第三方风险管理及网络安全供应链管理最相关的功能、类别和子类别,并针对落实这些指南提供了最佳实践指导。
注:此表仅为摘要,并非NIST分类的完整列表。如需查看NIST CSF全貌,请下载完整版文档。请与内部审计团队及外部审计师协作,确定应重点关注的分类及子分类。
功能、类别和子类别
最佳做法
管理(GV):制定、传达和监督组织的网络安全风险管理战略、预期和政策
网络安全供应链风险管理(GV.SC):由组织利益相关方识别、建立、管理、监控并改进网络供应链风险管理流程。
GV.SC-01:组织利益相关方已建立并认可网络安全供应链风险管理计划、战略、目标、政策及流程。
GV.SC-02:供应商、客户及合作伙伴的网络安全职责与责任已建立,并在内部与外部进行传达与协调。
GV.SC-03:网络安全供应链风险管理已融入网络安全及企业风险管理、风险评估与改进流程之中。
建立全面的第三方风险管理(TPRM)或网络安全供应链风险管理(C-SCRM)计划,与更广泛的信息安全和治理、企业风险管理和合规计划保持一致。
寻找专家与团队合作:
- 定义并实施 TPRM 和 C-SCRM 流程和解决方案
- 选择风险评估问卷和框架
- 根据组织的风险偏好优化计划,以应对整个第三方风险生命周期--从采购和尽职调查到终止和离职
作为这一过程的一部分,您应该确定:
- 明确的角色和职责(如 RACI)
- 第三方库存
- 基于组织风险承受能力的风险评分和阈值
- 事件响应的关键风险指标 (KRI)、关键绩效指标 (KPI)和服务水平
GV.SC-04:了解供应商,并根据重要性确定优先次序
将第三方库存集中到软件解决方案中。然后,量化所有第三方的固有风险。用于计算第三方优先级固有风险的标准应包括:
- 验证控件所需的内容类型
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
通过这种固有的风险评估,您的团队可以自动对供应商进行分级;设定适当的进一步审查级别;并确定持续评估的范围。
基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。
GV.SC-05:制定应对供应链中网络安全风险的要求,确定其优先次序,并将其纳入与供应商和其他相关第三方的合同和其他类型的协议中
集中分发、讨论、保留和审查供应商合同,实现合同生命周期自动化,确保关键条款得到执行。主要功能应包括
- 集中跟踪所有合同和合同属性,如类型、关键日期、价值、提醒和状态,并提供基于角色的定制视图
- 工作流程功能(基于用户或合同类型),实现合同管理生命周期自动化
- 自动提醒和逾期通知,以简化合同审查
- 集中合同讨论和意见跟踪
- 合同和文件存储,具有基于角色的权限,并对所有访问进行审计跟踪
- 支持离线合同和文件编辑的版本控制跟踪
- 基于角色的权限,可分配职责、访问合同和读/写/修改访问权限
有了这种能力,您就可以确保在供应商合同中明确规定责任和审计权条款,并相应跟踪和管理 SLA。
GV.SC-06:在与供应商或其他第三方建立正式关系之前进行规划和尽职调查,以降低风险
在单一解决方案中集中并自动分发、比较和管理招标书(RFP)和信息征询书(RFI),并对关键属性进行比较。
在对所有服务提供商进行集中管理和审查时,团队应创建全面的供应商档案,其中包含对供应商人口信息、第四方技术、ESG 分数、近期业务和声誉洞察、数据泄露历史以及近期财务业绩的深入了解。
此级别的尽职调查为供应商选择决策提供了更全面的背景信息。
GV.SC-07:在整个关系过程中,了解、记录、优先考虑、评估、应对和监控供应商、其产品和服务以及其他第三方带来的风险
寻找具有大型预建第三方风险评估模板库的解决方案。评估应在入职、合同续签时进行,或根据重大变化以任何规定的频率(如每季度或每年)进行。
评估工作应集中管理,并依托工作流、任务管理及自动化证据审查功能,确保团队在整个合作关系生命周期内能够全面掌握第三方风险状况。
重要的是,TPRM 解决方案应包括基于风险评估结果的内置补救建议,以确保您的第三方及时、令人满意地处理风险,并能向审计人员提供适当的证据。
作为这一过程的一部分,持续跟踪和分析第三方面临的外部威胁。监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和财务信息的公共和私人来源。
所有监测数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。
务必整合第三方运营、声誉及财务数据,为网络安全发现提供背景信息,并衡量事件随时间推移产生的影响。
GV.SC-08:将相关供应商和其他第三方纳入事件规划、响应和恢复活动中
作为更广泛事件管理策略的一部分,请确保您的第三方事件响应计划能让团队快速识别、应对、报告并减轻第三方供应商安全事件的影响。 寻求托管服务,由专职专家集中管理供应商;实施主动事件风险评估;对识别风险进行评分;将风险与持续网络监控情报关联;并发布补救指导。托管服务可大幅缩短识别受网络安全事件影响供应商所需时间,并确保补救措施到位。
第三方事件响应服务的主要功能应包括
- 不断更新和可定制的事件和事故管理调查表
- 实时跟踪问卷完成进度
- 定义风险所有者,并通过自动追逐提醒,使调查如期进行
- 积极主动的供应商报告
- 每个供应商的风险评级、计数、评分和标记回复的综合视图
- 工作流程规则,根据风险对业务的潜在影响触发自动运行程序,对风险采取行动
- 为内部和外部利益相关者提供内置报告模板
- 来自内置补救建议的指导,以降低风险
- 数据和关系映射可识别组织与第三方、第四方或第 N 方之间的关系,从而直观显示信息路径并揭示风险数据
此外,还可考虑利用包含全球数千家公司数年数据泄露历史记录的数据库,包括被盗数据的类型和数量、合规性和监管问题,以及实时供应商数据泄露通知。
有了这些洞察力,您的团队就能更好地了解事件的范围和影响;涉及哪些数据;第三方的运营是否受到影响;以及补救措施何时完成--所有这一切都要借助专家的力量。
GV.SC-09:供应链安全实践已融入网络安全和企业风险管理计划,其执行情况在技术产品与服务的整个生命周期内持续接受监控。
请参阅GV.SC-01和GV.SC-02。
识别(ID):已了解该组织的当前网络安全风险
资产管理(ID.AM):识别并管理使组织能够实现业务目标的资产(例如数据、硬件软件、系统、设施、服务、人员),其管理应符合这些资产对组织目标的相对重要性及其风险策略。
ID.AM-03:维护组织授权网络通信及内外网络数据流的表示
为解决此子类别问题,Prevalent可协助识别供应商生态系统中的第四方及第N方分包关系。该解决方案包含基于问卷的供应商评估,以及对供应商公开基础设施的被动扫描。生成的关系图谱将揭示可能使组织面临风险的延伸依赖关系与信息流。
ID.AM-04:供应商提供的服务清单得到维护
Prevalent 支持您通过电子表格模板导入供应商,或通过 API 连接现有采购解决方案,构建集中化的服务供应商名录。企业内部团队可借助集中化且可定制的供应商信息录入表单及关联的工作流任务,快速完善关键供应商信息。该功能通过电子邮件邀请即可向全体用户开放,无需任何培训或解决方案专业知识。
ID.AM-05:资产优先级依据分类、关键性、资源及对任务的影响程度确定
请参阅GV.SC-04。
ID.AM-08:系统、硬件、软件、服务及数据在其整个生命周期内均受到管理
为解决此类别问题,Prevalent 使您能够:
- 持续评估和监控服务提供商为您的环境引入的潜在风险;并提出建议以减轻这些风险的影响。
- 监控服务水平、关键绩效指标(KPI)和关键风险指标(KRI),以确保遵守合同约定。
- 安全移交服务提供商,确保合同终止后的数据与系统安全
风险评估(ID.RA):组织需了解其自身、资产及个人面临的网络安全风险。
ID.RA-02:网络威胁情报来自信息共享论坛及信息源
ID.RA-03:识别并记录组织面临的内部与外部威胁
ID.RA-04:识别并记录利用漏洞的威胁所可能产生的影响及其发生概率
ID.RA-05:威胁、脆弱性、可能性和影响被用于理解固有风险,并为风险应对优先级排序提供依据。
ID.RA-06:风险应对措施从可用选项中选定,并按优先级排序、制定计划、实施跟踪及进行沟通。
ID.RA-07:变更与例外情况均经过管理、风险影响评估、记录与追踪。
Prevalent供应商威胁监控系统持续追踪并分析针对第三方企业的外部威胁。为此,Prevalent通过监测互联网及暗网中的网络威胁与漏洞,同时整合公开及私有渠道的声誉、制裁与财务信息来源,构建全面防护体系。
监测来源包括
- 犯罪论坛;洋葱页面;暗网特权访问论坛;威胁情报源;泄露凭证粘贴网站——以及若干安全社区、代码仓库和漏洞数据库
- 包含全球数千家企业多年数据泄露历史的数据库
所有监控数据均与评估结果相关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告、整改及响应措施的实施流程。
当所有评估与监控数据整合至中央风险登记簿后,Prevalent平台将依据概率与影响模型实施风险评分与优先级排序。该模型将风险归入矩阵框架,使您能清晰识别高影响风险,从而针对性地优先开展整改工作。
然后,您可以指派责任人,并追踪风险与整改措施,直至达到业务可接受的水平。
另请参阅GV.SC-04。
D.RA-09:在采购和使用前,需对硬件和软件的真实性与完整性进行评估。
作为尽职调查流程的一部分,您可通过Prevalent要求供应商为其软件产品提供最新的软件物料清单(SBOM)。这将帮助您识别可能影响组织安全与合规性的潜在漏洞或许可问题。SBOM与其他文档类型同等处理,您可应用自动化文档配置文件来检索验证软件组件所需的关键信息。
ID.RA-10:关键供应商在收购前进行评估
请参阅GV.SC-06。
改进(ID.IM):在所有CSF职能领域中,已识别出针对组织网络安全风险管理流程、程序及活动的改进措施。
ID.IM-02:通过安全测试和演练(包括与供应商及相关第三方协同开展的测试和演练)识别出改进措施。
ID.IM-04:已建立、传达、维护并持续改进影响运营的事件响应计划及其他网络安全计划。
请参阅GV.SC-08。
DETECT (DE):发现并分析潜在的网络安全攻击和安全漏洞
持续监控(DE.CM):对资产进行监控以发现异常情况、入侵指标及其他潜在恶性事件
DE.CM-06:对外包服务商的活动及服务进行监控,以发现潜在的不良事件。
请参阅ID.RA
响应(RS):针对检测到的网络安全事件采取行动
事件管理(RS.MA):对检测到的网络安全事件的响应进行管理
RS.MA-01:一旦事件被宣告,将协同相关第三方执行事件响应计划。
请参阅GV.SC-08。
事件响应报告与沟通(RS.CO):响应活动需根据法律、法规或政策要求,与内部及外部利益相关方进行协调。
RS.CO-02:向内部和外部利益相关方通报事件
RS.CO-03:信息与指定的内部和外部利益相关方共享
请参阅GV.SC-08。
恢复(RC):受网络安全事件影响的资产和运营得到恢复
事件恢复沟通(RC.CO):与内部及外部各方协调恢复工作
RC.CO-03:恢复活动及恢复运营能力的进展情况已传达给指定的内部和外部利益相关方。
请参阅GV.SC-08。
