供應鏈安全指南:將方法應用於新的供應商關係
2022-11-28由 祺印說信安 發表于 農業
如何入駐政採雲平臺
第 3 階段:將方法應用於新的供應商關係
在新供應商的整個合同生命週期(從採購和供應商選擇到合同結束)中嵌入新的安全實踐。
第
3
階段的預期產出。
·
網路安全實踐貫穿整個收購過程,由受過網路安全培訓的專業人員組成的多學科團隊提供支援。
·
提高員工對供應鏈威脅的認識。
·
根據定義的指標定期衡量績效,董事會成員可以看到這些指標。
第
3
階段的步驟:
步驟
1
:培訓團隊
步驟
2
:在整個合同期限內嵌入網路安全控制
步驟
3
:監控供應商安全績效
步驟
4
:向董事會報告進度
步驟
1
:培訓團隊
確保將參與評估供應商的人員:
·
瞭解供應商網路安全帶來的威脅
·
瞭解他們在降低風險方面的作用
·
瞭解為組織定義的流程
步驟
2
:在整個合同期限內嵌入網路安全控制
在合同生命週期的每一步都考慮網路安全:
1。
如果決定
外包給外部供應商,請根據設定的風險標準確定是否需要網路安全風險評估以及評估到什麼級別。
2。
在選擇供應商期間
,進行盡職調查,評估每個供應商滿足網路安全控制的能力,並確保這是選擇決策過程的一部分。
3。
授予合同時
,在供應商合同中規定遵守必要的網路安全控制措施,並與供應商達成一致。
4。
在與供應商簽訂
合同時
,確保供應商安全條款有效並符合預期,事件得到適當管理,並及時瞭解不斷變化的威脅和漏洞。
5。
終止合同時
步驟
3
:監控供應商安全績效
一次性評估不足以確保網路安全標準得到滿足。定期監控供應商網路彈性中的漏洞將幫助確定存在不足的地方,並與供應商合作解決這些問題(在它們被利用併成為問題之前)。
如何持續保證供應商的安全?
與供應商保持定期對話,以便他們通知更改將有助於確保維護標準,並確定需要解決的任何問題。在這些定期網路安全審查期間,可以從供應商那裡收集以下資訊:
·
組織正在使用的供應商資產列表。
·
他們遭受的攻擊或違規行為。
·
確認他們主動管理、監控和定期稽核他們用於訪問系統、服務和資訊的任何系統或服務賬戶。
·
顯示有關安全效能的指標的
KPI
,包括正在修補的軟體、違規事件、入侵檢測系統輸出、防火牆輸出。
·
其自身供應商近期的鑑證活動的結果。
·
供應商的事件響應計劃多久審查一次?
·
供應商最後一次訪問是什麼時候?
檢查自己組織的資產也是確認供應商安全是否得到維護的好方法。這可能包括:
·
檢查供應商的特權訪問是否按預期使用。
·
·
保留公司網路與第三方之間已批准的網路連線(例如站點到站點
VPN
)的列表,並監視網路連線以確保僅存在授權連線。
·
對共享組織
/
供應商基礎設施進行滲透測試。
考慮使用第三方工具來持續監控供應商。
有一系列可用的商業工具可以檢視和訪問供應商面向公眾的流量,並嘗試評估正在傳送的任何資料包中的漏洞。雖然這可能不代表對供應商能力的精確測試,但報告的自動化和實時性可能會提醒重大變化,這可能會促使與相關供應商進行對話。
作為任何服務水平協議的一部分,可能希望正式確定供應商如何證明其符合其同意實施的控制措施。這些應該是可衡量的,並儘可能應用自動化。這些應在合同義務中定義,可能包括:
·
將進行的監測範圍
·
預期要收集的資料集
·
日誌
/
資料交接或傳送機制
·
保證所捕獲資料的完整性和安全性
·
如何使用這些資訊
·
對超出定義閾值的發現的反應
·
事件管理和報告的詳細資訊
步驟
4
步:向董事會報告進度
在第
2
階段
“
制定評估供應鏈網路安全的方法
”
中,您同意了適當的治理結構、實施該方法的角色和責任,並定義了包含決策標準的明確流程。重要的是要堅持這種治理,以確保引入的網路安全實踐保持相關性,並最終實現幫助保護供應鏈的目標。
定義向董事會報告的成功標準和指標,採用一致的方法和頻率,以便董事會了解風險級別。可以考慮的一些報告指標包括:
·
評估了多少百分比的供應商
/
分包商?
·
其中有多少
比率
是合規的?
·
供應商最後一次評估是什麼時候?
·
是否有任何供應商有重大問題需要解決?
·
我們對供應鏈中的關鍵供應商有看法嗎?
·
自上次更新以來發生了哪些高嚴重性問題?
董事會成員如何幫助對供應鏈網路安全進行強有力的評估。
董事會應確保他們瞭解組織在維護供應鏈網路保證方面的限制,並在可能的情況下采取行動緩解這些限制。例如,透過投資持續監測所需的工具和復甦。
供應鏈安全指南:為方法建立關鍵元件
資料安全風險評估清單
日誌審計在網路安全中有何作用?為何日誌留存法律硬性規定要求?
資料質量成熟度模型:分析資料準備的 5 個級別
2022 年保護裝置的最佳防病毒軟體