美国国家标准与技术研究院(NIST)是美国商务部下属的联邦机构。该机构的职责包括为联邦机构制定计算机及信息技术相关标准与指南。然而,由于NIST发布并维护着适用于任何企业的网络安全风险管理关键资源,众多私营机构将遵循这些标准与指南视为首要任务。
美国国家标准与技术研究院(NIST)的若干特别出版物规定了具体管控措施,要求组织建立并实施流程以识别、评估和管理供应链风险。这些NIST特别出版物包括:
- SP 800-53 Rev. 5:信息系统和组织的安全与隐私控制
- SP 800-161 Rev. 1:系统和组织的网络安全供应链风险管理实践
- 网络安全框架 v2.0
由于NIST指南具有互补性,采用某项特别出版物作为标准的组织可将其映射至其他指南——实质上通过单一框架满足多重要求。Prevalent第三方风险管理平台可用于满足NIST对强化供应链安全性的要求。
本文阐释了每份NIST特别出版物,并将Prevalent的能力映射至这些框架中。
供应链风险管理控制措施(SP 800-53 第5版修订版)
随着SP 800-53标准的修订,供应链安全与数据隐私控制措施不断演进。 例如,在SP 800-53修订版4中,供应链保护被纳入更广泛的"系统与服务采购"控制组。该单项控制要求识别信息系统全生命周期中的脆弱性,并通过策略与管控措施予以应对。它鼓励组织采购第三方解决方案以实施安全防护措施,同时要求企业在合作前对供应商及其产品进行审查评估,从而提升供应链整体可视性。
鉴于第三方供应商相关数据泄露事件及其他安全事件日益增多,SP 800-53 Rev. 5通过建立全新的控制组——SR-供应链风险管理,扩展并完善了供应链安全与隐私指南。该标准还要求组织通过以下方式制定并规划供应链风险管理方案:
- 运用正式的风险管理计划和政策来推动供应链管理流程
- 通过协作识别风险与威胁,并应用基于安全与隐私的管控措施,强调安全与隐私保护
- 要求系统和产品的透明度(例如:生命周期、可追溯性及组件真实性)
- 日益增强的认识:必须对组织进行预先评估,并确保对问题和违规行为的可视性。
SP 800-161修订版1如何补充网络安全供应链风险管理
美国国家标准与技术研究院(NIST)的SP 800-53被视为所有其他网络安全控制措施的基础。通过SP 800-161修订版1,NIST构建了一个配套框架,用于界定、评估、应对和监控网络安全供应链风险。SP 800-53与补充性控制指南SP 800-161共同构成了评估和缓解供应商风险的全面框架。
网络安全框架v2.0中的供应链风险管理要求
《网络安全框架》是美国国家标准与技术研究院(NIST)发布的另一份文件,适用于第三方风险管理和供应链安全。该框架借鉴了现有安全框架(如CIS、COBIT、ISA、ISO/IEC和NIST),旨在避免给组织带来不必要的负担以满足相关要求。 美国国家标准与技术研究院(NIST)网络安全框架2.0版该版本于2024年2月发布,将供应链风险管理控制措施重组至名为"治理"的新职能下。CSF中明确的具体供应链风险管理子类别包括:
- GV.SC-01:组织利益相关方已建立并认可网络安全供应链风险管理计划、战略、目标、政策及流程。
- GV.SC-02:供应商、客户及合作伙伴的网络安全职责与责任已建立,并在内部与外部进行传达与协调。
- GV.SC-03:网络安全供应链风险管理已融入网络安全及企业风险管理、风险评估与改进流程之中。
- GV.SC-04:供应商已知且按重要性优先排序
- GV.SC-05:针对供应链中的网络安全风险,已建立应对要求,并按优先级将其纳入与供应商及其他相关第三方签订的合同及其他类型的协议中。
- GV.SC-06:在建立正式供应商或其他第三方关系前,需通过规划与尽职调查降低风险。
- GV.SC-07:在合作关系存续期间,对供应商及其产品、服务以及其他第三方所带来的风险进行识别、记录、优先级排序、评估、应对及监控。
- GV.SC-08:相关供应商及其他第三方被纳入事件规划、响应及恢复活动
- GV.SC-09:供应链安全实践已融入网络安全和企业风险管理计划,其执行情况在技术产品与服务的整个生命周期中持续接受监控。
- GV.SC-10:网络安全供应链风险管理计划应包含针对合作关系或服务协议终止后相关活动的条款。
通过Prevalent平台满足NIST SP 800-53r5和NIST 800-161r1供应链网络安全指南要求
Prevalent可通过自动化平台 管理供应商风险评估流程, 并判定供应商是否符合IT安全、法规及数据隐私要求,从而 协助满足《联邦信息系统与组织安全与隐私控制指南》(NIST SP 800-53r5)及《网络安全供应链风险管理实践》(NIST 800-161r1 )中的第三方要求。
借助主流第三方风险管理平台,您可以:
- 持续追踪并分析供应商及其他第三方面临的外部可观察威胁,同时补充和验证供应商报告的安全控制数据,以满足CA-2(1)控制评估|专项评估、 CA-2(3)控制评估|利用外部组织评估结果, 以及SA-4(7)系统监控|综合态势感知的要求。
- 通过监控1,500+犯罪论坛、数千个洋葱页面、80+暗网特权访问论坛; 65+威胁情报源;50+泄露凭证粘贴站点——同时覆盖多个安全社区、代码仓库及漏洞数据库,以满足以下要求:CA-7(3)持续监控 | 趋势分析、 PM-16威胁感知计划、 PM-31持续监控策略、SA-4(3)采购流程 | 控制措施持续监控计划 ,以及SI-5安全警报、咨询与指令。
- 通过集中管理供应商、开展事件评估、对识别风险进行评分并获取补救指导,快速识别并减轻供应链违规事件的影响,以满足以下要求:CP-2(7)应急计划 | 与外部服务提供商协调、 IR-4(3)事件处理 | 供应链协调、 IR-6(1)事件报告 | 供应链协调 以及IR-8事件响应计划。
- 自动化合同生命周期管理,确保关键合同条款(用于事件响应)到位,并管理服务水平和响应时间以满足IR-5事件监控 协议和SR-8通知协议的要求。
- 通过750余种标准化风险评估调查模板(涵盖NIST、ISO等众多标准)评估供应链合作伙伴管控措施,配备自定义调查创建向导及可映射至任何合规法规或框架的问卷,以满足以下要求:CA-2(3)安全评估 | 外部组织、 RA-1政策与程序、RA-3风险评估、RA-7风险应对 及SR-6供应商评估与审查。
- 采用多重标准对所有供应商进行分类分级,以满足RA-9关键性分析和 SR-13供应商清单 的要求 。
- 提供即时访问数千份已完成的、符合行业标准的供应商风险档案,实时提供安全、声誉及财务信息,以满足SA-9采购流程 和SR-5采购策略、工具及方法的需求。
- 制定并记录您的交易方风险管理计划,以满足SR-1政策与程序以及SR-3供应链控制与流程的要求。
- 持续改进您的供应链风险管理计划,确保其具备敏捷性和灵活性,以适应SR-2供应链风险管理计划的要求。
符合美国国家标准与技术研究院《关键基础设施网络安全改进框架》
框架(CSF)v2.0第三方要求
借助主流第三方风险管理平台 ,您可实现:
- 借助专业服务团队制定并记录您的第三方风险管理计划。获取清晰的方案,涵盖项目战略、职责分工及与企业整体风险管理战略的整合,同时融入端到端第三方风险管理的最佳实践,以应对网络安全供应链风险管理(GV.SC-01、GV.SC-02、GV.SC-03及GV.SC-09)。
- 在供应商生命周期的接纳和优先级排序阶段,将所有第三方固有风险进行集中管理、风险画像、分层评估和风险评分,作为关键的第一步,以应对网络安全供应链风险管理(GV.SC-04)。
- 集中管理供应商合同的分发、讨论、存档与审查流程,实现合同生命周期自动化管理,确保关键条款得到有效执行,作为网络安全供应链风险管理(GV.SC-05)的重要组成部分。
- 通过单一解决方案集中化并自动化处理提案请求(RFP)和信息请求(RFI)的分发、比对与管理,将其纳入网络安全供应链风险管理(GV.SC-06)框架,实现合同签订前的尽职调查。
- 采用综合解决方案评估和监控所有与供应链合作伙伴安全控制相关的信息安全议题,以应对网络安全供应链风险管理(GV.SC-07)。
- 识别、响应、报告并减轻第三方供应商安全事件的影响,作为网络安全供应链风险管理(GV.SC-08)的一部分。
- 自动化合同评估与离职流程,以降低贵组织在网络安全供应链风险管理(GV.SC-10)框架下合同终止后的风险暴露。
NIST合规的后续步骤
美国国家标准与技术研究院(NIST)要求对第三方供应链安全风险实施强有力的管理和追踪。SP 800-53r5、SP 800-161r1及CSF v2.0明确规定:
- 应制定风险管理政策
- 应选择安全控制措施
- 在适当情况下,应将政策纳入供应商协议中予以明文规定。
- 供应商应根据要求和控制措施进行评估、管理和审核。
Prevalent提供符合NIST标准的统一平台,助您高效审核供应商安全管控措施。如需了解NIST供应链风险管理要求的完整清单及Prevalent功能的对应映射,请查阅《NIST第三方合规检查清单》或立即申请演示。欲了解第三方风险管理如何适用于50余项其他法规,请下载《网络安全框架合规手册》。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
