随着源于供应链漏洞的高调网络攻击事件持续增加,英国政府通信总部下属的国家网络安全中心(NCSC)发布了更新指南,旨在帮助各类组织有效评估其供应链的网络安全状况并增强信心。
最新指南于2022年10月发布,旨在协助各组织落实英国国家网络安全中心(NCSC)2018年1月首次公布的12项供应链安全原则,具体内容如下图所示(由英国政府通信总部下属的国家网络安全中心提供)。
该指南分为以下五个阶段:
- 开始之前
- 制定评估供应链网络安全的方法
- 将该方法应用于新供应商关系
- 将该方法整合到现有的供应商管控体系中
- 持续改进
本文探讨了最新NCSC指南中的五个阶段,并提出了实施该指南的最佳实践步骤。
NCSC供应链网络安全指南 第一阶段:启动前准备
根据NCSC指南,第一阶段的目标是"了解本组织在网络安全风险管理方面的做法"。这一初步规划阶段包含以下步骤:
了解贵组织面临的风险
根据近期行业研究显示,45%的企业在过去12个月内遭遇过第三方数据或隐私泄露事件。请回答以下关键问题:
- 贵组织能否在供应链遭遇网络攻击时保持韧性?
- 你能识别网络攻击者的目标吗?是数据吗?
- 你能识别出网络攻击者最可能采取的攻击路径吗?
如果上述任何问题的答案为“否”,则必须评估网络供应链中的薄弱环节,并制定计划以减轻这些风险。
确定谁应参与供应链网络安全决策
参与者可包括来自采购与供应链管理、风险管理、安全与信息技术、法律与合规、数据隐私等团队的代表。之所以需要这么多团队参与供应链网络风险管理流程,是因为每个部门往往只关注与其职责相关的风险。例如:
- IT安全与 隐私团队必须确定已实施哪些控制措施来保护数据和系统访问权限,若供应商发生数据泄露事件,其影响程度如何,以及是否存在来自第四方的过度风险。
- 采购团队可能需要评估供应商的财务或信用记录是否存在任何问题,或该供应商是否存在声誉问题。
- 合规与法律团队将需要了解供应商是否因数据隐私、环境、社会与治理、贿赂或制裁问题而受到警示。
- 风险管理团队需要了解供应商所在地区是否易受自然灾害影响或存在地缘政治动荡。
首先,建立RACI矩阵以明确组织中各方的职责:
- 负责管理风险
- 对结果负责
- 咨询了
- 及时了解流程和结果
最后,通过以下方式获得高层管理人员和董事会的支持:
- 呈现供应链对组织当前风险敞口的综合视图
- 传达当前风险状况及降低风险的措施
- 确定需要高管支持的领域
风险评估
风险分类的常用方法是通过“热力图”进行评估,该图在两个维度上衡量风险:发生概率与运营影响。显然,在两个维度上评分均高的风险(例如位于右上象限)应优先于评分较低的风险。
NCSC指南第二阶段:制定供应链网络安全评估方案
第二阶段指南要求“建立可重复、一致的方法来评估供应商的网络安全”。该阶段包括:
- 了解组织应保护哪些资产;
- 定义保护资产所需的理想安全控制措施;以及
- 确定如何评估供应商及处理不合规行为。
在创建供应商安全档案之前,需评估其可能给公司带来的固有风险。计算固有风险时,请参考以下框架:
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度(避免集中风险)
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
通过运用此内在风险评估的洞察,您的团队能够自动对供应商进行分级和画像;制定具体合同条款以落实标准;设定适当的进一步尽职调查层级;确定持续评估的范围;并在出现不合规情况时明确整改措施。
为追踪安全要求的合规性,建议采用《网络安全基本要求》、ISO标准或其他普遍采用的信息安全控制框架进行标准化评估。
NCSC指导第三阶段:将方法应用于新供应商关系
在第三阶段,NCSC指南建议将"新的安全实践贯穿于新供应商的整个合同生命周期,从采购和供应商选择直至合同终止"。这包括监督合同条款的遵守情况,并确保团队在整个过程中始终保持对其职责的清醒认识。
本指南要求组织在供应商生命周期的每个阶段都需关注风险,包括:
- 在作出供应商选择决定前,通过获取潜在供应商的网络安全洞察或数据泄露历史信息,开展合同前尽职调查。
- 对供应商进行评分和分类,以便您了解如何对其进行分级处理以及需要进行哪些持续尽职调查。
- 通过实时网络监控数据验证评估结果
- 集中管理所有合同及与安全相关的合同属性
- 评估供应商效能,包括关键绩效指标(KPI)、关键风险指标(KRI)及服务水平协议(SLA)与合规措施的对比,以确保供应商满足合同要求。
- 以确保合同遵守、数据销毁及最终事项核对完成的方式逐步终止合作关系
在供应商入职、合同续签时或按要求频率(如季度或年度)开展网络安全评估。确保评估工作具备工作流管理、任务管理及自动化证据审查能力作为支撑。
随后,通过持续监控互联网和暗网中的网络威胁与漏洞,对第三方面临的外部威胁进行追踪分析。监控来源应涵盖:犯罪论坛;洋葱页面;暗网特权访问论坛;威胁情报源;泄露凭证粘贴站;安全社区;代码仓库;漏洞数据库;以及数据泄露数据库。将所有监控数据与评估结果关联,并集中整合至每个供应商的统一风险登记册中,从而优化风险审查、报告及响应机制。
NCSC指导第四阶段:将该方法整合到现有供应商合同中
在第四阶段,NCSC建议审查“现有合同——在续签时进行,涉及关键供应商时则应提前审查”。该指导假设存在一定程度的合同生命周期管理以及关键绩效指标(KPI)和关键风险指标(KRI)的管理。
合同生命周期管理
集中管理供应商合同的分发、讨论、存档与审核流程,确保所有相关团队均能参与合同审查,以确保合同中包含适当的安全条款。
管理供应商合同时需考虑的关键实践包括:
- 合同集中存储
- 所有合同及其属性的追踪,包括类型、关键日期、金额、提醒事项和状态——支持基于角色的自定义视图
- 工作流程功能(基于用户或合同类型),实现合同管理生命周期自动化
- 自动提醒和逾期通知,以简化合同审查
- 集中化合同讨论与意见追踪
- 合同和文件存储,具有基于角色的权限,并对所有访问进行审计跟踪
- 支持离线合同和文件编辑的版本控制跟踪
- 基于角色的权限,可分配职责、访问合同和读/写/修改访问权限
关键绩效指标(KPI)与关键风险指标(KRI)管理
审查合同的重要环节在于衡量关键绩效指标(KPI)和关键风险指标(KRI)。为高效审查合同中的KPI和KRI,请按以下方式进行分类:
- 风险衡量有助于理解与供应商开展业务的风险,以及相关的风险缓解措施。
- 威胁测量与风险存在一定重叠,并能提供更全面且经过验证的风险视角。
- 合规性评估用于判定供应商是否符合贵公司的内部控制要求。
- 覆盖率测量旨在回答以下问题:“我是否已全面覆盖供应商足迹?这些供应商是否已分层并得到相应对待?”
然后,务必将结果与合同条款挂钩,以实现对整个流程的全面管控。
最后,确保团队能够准确理解董事会应获取何种信息。此方法应能使团队:
- 向组织呈现供应链当前风险敞口的综合视图
- 通报关键供应商当前状态,这些供应商正为公司重大项目提供支持
- 展示威胁情报来源所揭示的固有风险与残余风险,以证明随时间推移降低风险的进展。
- 确定需要管理层支持的领域
NCSC指导第五阶段:持续改进
NCSC指南的最后阶段指出:“随着新问题的出现,定期完善您的方法将降低风险通过供应链进入您组织的概率。”
持续追踪并分析针对第三方机构的外部威胁,通过监控互联网及暗网中的网络威胁与漏洞实现。监控来源应涵盖:犯罪论坛;洋葱页面;暗网特殊访问论坛;威胁情报源;泄露凭证粘贴网站;数据泄露数据库——以及多个安全社区、代码仓库和漏洞数据库。
评估与持续监控的结果应整合至统一的风险登记册中,通过热力图报告依据风险发生概率与影响程度进行量化分类。制定整改方案并提供可供供应商遵循的建议以降低残余风险。为供应商搭建上传证据的专属平台,就具体整改措施进行沟通,同时配备安全审计轨迹以追踪整改措施直至完成。
下一步操作:下载《NCSC供应链网络安全综合检查清单》
NCSC要求可提供结构化框架与最佳实践建议,以减轻供应链网络安全攻击的风险。Prevalent提供一个集中式自动化平台,可配合您的整体网络安全风险管理计划,对风险进行评估并持续监控。
如需了解Prevalent如何提供帮助,请访问我们的NCSC解决方案页面,下载全面的NCSC供应链网络安全检查清单,或立即联系Prevalent预约个性化演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
