NERC 供应链网络安全风险管理生命周期安全指南

为应对SolarWinds、Kaseya
及Colonial Pipeline等破坏性供应链攻击事件，北美电力可靠性公司（NERC）发布了《供应链网络安全风险管理生命周期安全指南》。 该指南建议电力公用事业、天然气供应商等关键基础设施机构识别、评估并缓解其关键运营技术（OT）资产面临的供应链网络安全风险。由供应链事件引发的OT系统中断可能导致公用事业停运，对整个社会造成广泛而负面的影响。

本文依据NERC安全指南，探讨识别、评估和缓解供应链网络安全风险的关键步骤，并审视降低关键基础设施风险的最佳实践。

识别风险

指南第一章指出：“在供应链网络安全风险管理过程中，组织的首要目标是识别其关键运营技术资产所面临的风险——这些风险可能产生重大影响，或存在较高的被破坏可能性，具体取决于供应商的情况。”

为满足本指南要求，请构建：

• 一种基于受损可能性和对组织影响程度的双轴评分方法，通过创建类似热力图的矩阵来绘制风险分布。
• 当供应商对评估问题的回答未能达到可接受的风险阈值时，自动规则将分配相应分数，从而将风险绘制到矩阵中。
• 报告按矩阵中最高得分对风险进行排序。
• 向供应商建议的定制化补救措施以减轻风险。

在此之前，需先进行供应商画像与分级评估，以追踪并量化所有供应商的固有风险。基于此固有风险评估，您的团队可自动对供应商进行分类分级（包括识别关键供应商）；据此基准设定适当的后续尽职调查层级；并确定持续评估的范围。

风险评估

《安全指南》第二章指出：“一旦组织识别出风险，就需要对其供应商进行评估，以确定他们在每个已识别风险中构成的风险程度；在大多数情况下，供应商评估将通过问卷调查进行。”

为满足此要求，需通过自动化风险评估，将供应链风险管理计划的可视性、效率和规模扩展至供应商生命周期的每个阶段。利用包含数百个标准化评估模板的库，该库具备定制功能及内置工作流和整改机制，可实现从调查收集与分析到风险评级与报告的全流程自动化。 确保所选评估平台包含针对关键基础设施报告及最佳实践的专项评估，例如美国国家标准与技术研究院（NIST）《关键基础设施网络安全改进框架》。

作为风险评估流程的一部分，需持续追踪并分析供应商面临的外部威胁，通过监控互联网及暗网中的网络威胁与漏洞实现。监控来源应涵盖：犯罪论坛、洋葱页面、暗网特殊访问论坛、威胁情报源、泄露凭证粘贴网站、安全社区、代码仓库、漏洞数据库及数据泄露数据库。

在此阶段，一项关键能力是将持续监控结果与评估响应相关联，以验证控制措施的有效性。若仅使用电子表格进行风险评估或采用分散的网络安全监控工具，则无法实现这一目标。

减轻风险

指南第三章建议组织要求供应商对评估中识别的风险采取缓解措施。风险缓解的目标应是将风险价值降低至可接受水平，从而降低风险发生的概率和/或影响程度。

该指南指出，这可通过征求建议书或合同执行来实现，但要求的补救措施也是重要的合同后执行手段。下表列举了指南中部分精选的缓解措施。

指南第四章要求在产品或服务的整个生命周期中考虑供应链网络安全风险缓解措施，以降低最初评估为高风险的风险等级。这需要在采购流程开始时进行基准采购风险评估，随后需：

• 对所有供应商进行分类、分层及固有风险评分，助您聚焦关键供应商
• 基于基准固有风险评估结果，持续评估和监控供应商
• 衡量对合同关键绩效指标（KPI）和关键风险指标（KRI）的遵守情况
• 分析风险，并根据行业标准最佳实践指南进行补救和报告

更新风险管理计划

指南第五章建议供应链网络安全风险管理计划至少每年更新一次。这将涉及识别新风险、重新评估供应商，并据此审查缓解措施——必要时需重复执行第一至第三章所述任务。

为优化您的计划以应对整个供应商风险生命周期，请持续更新：

• 管理政策、标准、系统和流程以保护系统
• 组织角色与职责（例如RACI）
• 供应商库存与关键性
• 基于贵组织风险承受能力的风险评分规则与阈值
• 基于供应商重要性的评估与监控方法论
• 第四方与第N方映射，助您洞悉扩展供应商生态系统
• 持续网络安全监控数据的来源
• 关键绩效指标（KPI）和关键风险指标（KRI）
• 针对服务水平的合规性和合同报告要求
• 事件响应要求
• 风险和内部利益攸关方报告
• 风险缓解和补救战略

后续步骤：满足NERC安全指南对供应链网络安全风险管理生命周期的要求

NERC《供应链网络安全风险管理生命周期安全指南》为减轻关键基础设施组织面临的网络安全风险提供了基础性建议。如需实施这些最佳实践的帮助，请立即预约演示。

编者按：本文最初发表于Prevalent.net。2024 年 10 月，Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后，我们对内容进行了更新，以纳入与我们的产品、监管变化和合规性相一致的信息。