鉴于关键基础设施面临的许多网络安全风险源于第三方供应商,北美电力可靠性公司(NERC)发布了《供应商风险管理生命周期安全指南》。 该指南不仅为电力系统(BES)领域,更涵盖天然气管道、电力生产、输配电及其他关键基础设施领域,通过列举供应商风险实例并提出缓解措施,指导组织机构在制定整体供应链网络安全风险管理计划时予以考量。
本文探讨了北美电力可靠性公司(NERC)安全指南中界定的供应商风险生命周期各阶段,并回顾了在每个阶段减轻关键基础设施网络安全风险的最佳实践。
供应商风险生命周期阶段
NERC安全指南将供应商风险管理生命周期划分为以下阶段:
- 通过提案请求(RFP)或其他方式进行供应商识别
- 从供应商处采购
- 产品或服务的安装与使用(包括供应商支持和补丁更新)
- 终止供应商关系
该指南随后建议,应在组织的供应链网络安全风险管理计划中记录信息技术(IT)和运营技术(OT)环境在生命周期每个阶段的流程。接下来我们将探讨这些阶段。
采购前的风险缓解
指南第一章指出:“在决定邀请哪些供应商参与提案请求时,组织可考虑以下因素:经批准的实体清单、情报来源以及公开信息(例如漏洞处理历史、网站安全状况)。”
为遵循本指南,请将潜在供应商的企业特征详情、第四方技术、ESG评分、近期业务与声誉洞察、数据泄露记录及财务表现整合至单一表格中。将这些洞察与RFx响应集中管理,可助您全面评估供应商——既考量其功能匹配度,亦评估其是否符合贵机构的风险偏好。
请参阅下表,了解第一章中建议的其他缓解措施。
| 建议的缓解措施 | 最佳做法 |
|---|---|
| 收集供应商针对特定供应链网络安全风险的缓解计划信息,采用仅包含相关问题的定向评估。 | 使用可自定义的 评估 根据供应商的重要性,收集并关联供应商控制措施,以确定对系统和数据的威胁。
将数据整合到单一风险登记册中,通过热力图报告根据风险发生的概率和影响程度进行量化与分类。借助这些洞察,团队能够清晰预见风险可能引发的后果。 |
| 在供应商合同中纳入网络安全条款和条件,或明确需衡量的具体交付成果。 | 采用合同生命周期管理解决方案,集中管理供应商合同的分发、讨论、存档与审查。此举将确保关键合同条款——如关键绩效指标(KPI)、关键风险指标(KRI)及服务等级协议(SLA)——被纳入供应商合同,并在合作关系中得到全程执行。 |
| 提供由合格第三方评估机构出具的认证或审计报告等支持性证据。
要求供应商提供软件物料清单(SBOM),列明其软件和/或固件中所有由第三方开发的组件。 执行采购风险评估(PRA)。 对风险偏好评估中识别出的每项高风险采取缓解措施。 |
将文件、支持性证据和供应商认证集中整合到单一供应商档案中,该档案关联已完成的供应商风险评估及中央风险登记册。
根据风险评估结果向供应商交付建议的补救措施,确保供应商及时且妥善地处理风险。通过明确的责任人(包括贵组织内部及供应商组织内部人员)全程追踪补救措施直至完成。 风险评估 |
《安全指南》第二章指出:“一旦与供应商建立合作关系,且组织开始从该供应商获取产品或服务,则需建立持续识别、评估并缓解供应商带来的残余风险与新增风险的流程。”为实现此目标,指南建议采取下表所列部分步骤。
| 建议的缓解措施 | 最佳做法 |
|---|---|
| 将问题重点聚焦于通过多因素认证保护远程访问。
使用仅包含相关问题的问卷。 为IT供应商和OT供应商分别准备独立的问卷。 考虑ISO 27001或SOC2等认证。 |
自动化 风险评估 在供应商生命周期的每个阶段,拓展您的供应商风险管理计划的可见性、效率和规模。
利用包含数百个标准化评估模板的库——包括针对IT和OT领域的问卷——该库具备定制功能,并内置工作流和补救措施,可自动化处理从调查收集与分析到风险评级和报告的全部流程。 若供应商无法或不愿完成标准化评估,可将ISO认证或SOC 2报告映射至中央风险登记簿视图,将该供应商的风险与其他供应商评估中收集的风险一并管理。 通过持续洞察网络威胁来验证评估结果。将所有情报整合到"单一控制面板"中,将优化您的风险分析工作。 |
减轻产品/服务使用过程中的风险
指南第三章建议组织要求供应商对评估中识别的风险采取缓解措施。风险缓解的目标应是将风险价值降低至可接受水平,从而降低风险发生的概率和/或影响程度。
该指南指出,这可通过征求建议书或合同执行来实现,但要求的补救措施也是重要的合同后执行手段。下表列举了指南中部分精选的缓解措施。
| 建议的缓解措施 | 最佳做法 |
|---|---|
| 在招标文件中明确列出安全风险,并规定供应商必须采取的风险缓解措施。 | 集中管理并自动化处理招标书(RFP)和信息征询书(RFI)的分发、比较及管理流程,将其纳入供应商遴选决策体系。此举将确保供应商的选拔基于关键网络安全措施。 |
| 合同条款应包含供应商承诺实施特定安全控制措施的书面说明,允许组织方审查供应商的实施进度,并明确未来就相关事项进行沟通的具体方式。 | 集中管理供应商合同的分发、讨论、存档与审核。通过这种方式管理供应合同,可确保合同中包含适当的安全条款及执行机制。 |
| 制定具体的补救措施。 | 根据风险评估结果向供应商交付建议的整改措施,确保供应商及时有效地处理风险。通过明确责任人(包括贵组织内部及供应商组织内部人员)全程追踪整改措施直至完成。验证风险缓解措施 |
验证风险缓解措施
指南第四章要求验证供应商是否遵守相关政策及缓解措施。可能采取的行动包括下表所列内容。
| 建议的缓解措施 | 最佳做法 |
|---|---|
| 向供应商记录并传达绩效差距、预期服务标准以及适用的合同条款或书面承诺。 | 定制调查问卷,以便在单一风险登记册中轻松收集并分析必要的绩效和合同数据。识别与服务水平协议(SLA)或绩效相关的关键合同属性,将这些要求填入中央平台,并为您和供应商分配任务以供跟踪。 |
| 向供应商传达:绩效考核指标将体现在未来对新采购产品或服务的评分或评估中。 | 集中测量 供应商关键绩效指标(KPI)与关键风险指标(KRI) 根据您的要求,通过自动从供应商合同中提取相关条款。
提出补救建议,确保供应商及时且妥善地处理风险。 |
| 评估终止与供应商的合作关系。 | 当关键服务需要终止或退出时,请利用可定制的调查问卷和工作流程来报告系统访问权限、数据销毁、访问管理、相关法律合规性、最终付款等事项。 |
采购、终止与过渡
指南第五章概述了终止供应商关系所需的程序,包括下表所列内容。
| 建议的缓解措施 | 最佳做法 |
|---|---|
| 识别并缓解与终止或过渡相关的风险(例如持有敏感信息)。
对供应商持有的有关组织系统和网络的敏感信息进行盘点,并要求供应商证明所有信息均已删除。 |
自动化合同评估 离职流程 降低贵组织合同签订后风险暴露的措施。
* 安排任务审查合同,确保所有义务均已履行。* 发布可定制的合同评估报告以评估合同状态。 * 利用可定制的调查问卷和工作流程报告,涵盖系统访问、数据销毁、访问管理、所有相关法律的合规性、最终付款等内容。 集中存储和管理各类文件及认证,例如保密协议(NDA)、服务级别协议(SLA)、工作说明书(SOW)和合同。利用基于AWS自然语言处理和机器学习分析的内置自动化文档分析功能,确保关键条款得到满足。 * 通过内置的补救建议和指导,采取切实可行的措施降低供应商风险。 * 通过自动将评估结果映射到任何法规或框架,可视化并满足合规要求。 |
后续步骤:满足NERC安全指南对供应商风险管理生命周期的要求
NERC供应商风险管理生命周期安全指南为减轻关键基础设施组织面临的网络安全风险提供了基础性建议。如需实施这些最佳实践的帮助,请立即预约演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
