网络安全等级保护：信息系统安全运维管理指南思维导图 最常见的20种网络安全攻击类型 《网络数据分类分级要求》（征求意见稿）思维导图 关基保护：关键信息基础设施安全保护要求的一点杂感 2023 年应该注意的10种网络攻击类型 澳大利亚：网络安全原则 卡内基梅隆大学：缓解内部威胁的常识指南

最近英国NCSC发布了一版《供应链安全指南》，介绍了帮助组织更好地评估其供应链中的网络安全的实际步骤。它面向需要获得信心或保证的中型到大型组织，即针对与供应商合作相关的漏洞采取了缓解措施。

更具体地说，指南：

• 描述典型的供应商关系，以及组织通过供应链暴露于漏洞和网络攻击的方式

• 定义预期结果和关键步骤，以帮助组织评估供应链的网络安全方法

• 回答在阅读指南时可能遇到的常见问题

• 补充NCSC2020年发布的供应链原则，该原则在整个过程中被引用

指南适用于谁？

该指南面向希望建立（或改进）评估其组织供应链网络安全的采购专家、风险经理和网络安全专业人员。它可以“从头开始”应用，也可以建立在可能使用的任何现有风险管理技术和方法之上。

• 它适用于在商业和公共部门工作的大中型企业。

• 具有需要多年采购活动的复杂供应链的组织已经制定了既定流程来保护其供应链。

该指南是英国NCSC与跨市场运营弹性小组（CMORG）共同制定的，该小组通过公私集体行动支持提高金融部门的运营弹性。

我们整理该文，本着传播更多知识，便于从业者可以参考借鉴，后面我们将用几期逐步将该指南与大家分享。

了解威胁

许多组织依靠供应商来提供产品、系统和服务。供应链通常庞大而复杂，有效保护供应链可能很困难，因为漏洞可能是固有的、引入的或在其内部的任何时候被利用的。这使得很难知道您是否在整个供应链中有足够的保护。

近年来，出现了供应链中的漏洞导致网络攻击数量显著增加.这些攻击可能会对受影响的组织、其供应链和客户造成毁灭性、昂贵和长期的影响。

尽管存在这些风险，但许多公司忽视了他们的供应链。事实上，根据2022 年安全漏洞调查，只有超过十分之一的企业审查其直接供应商带来的风险 （13%），而更广泛供应链的比例是这个数字的一半 （7%）。

虽然问题已得到理解，但供应链的互联和分布式性质可能令人难以了解供应商如何管理和维护其网络安全。资源有限的组织可能会面临以下挑战：

• 对供应链网络安全不佳可能带来的风险认识或理解不足

• 缺乏防范供应链风险的投资

• 对供应链的可见性有限

• 评估供应商网络安全的工具和专业知识不足

• 不知道应该要求供应商做什么

摘要

该指南分为5个阶段，每个阶段都有关键步骤。下图总结了这些内容。请注意，阶段3和4（监控供应商安全绩效和向董事会报告进度）中的某些步骤可以并行执行。

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 网络安全等级保护：等级保护测评过程及各方责任
3. 网络安全等级保护：政务计算机终端核心配置规范思维导图
4. 网络安全等级保护：什么是等级保护？
   
5. 网络安全等级保护：信息技术服务过程一般要求
6. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
7. 闲话等级保护：什么是网络安全等级保护工作的内涵？
8. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
9. 闲话等级保护：测评师能力要求思维导图
   
10. 闲话等级保护：应急响应计划规范思维导图
    
11. 闲话等级保护：浅谈应急响应与保障
    
12. 闲话等级保护：如何做好网络总体安全规划
    
13. 闲话等级保护：如何做好网络安全设计与实施
    
14. 闲话等级保护：要做好网络安全运行与维护
    
15. 闲话等级保护：人员离岗管理的参考实践
16. 信息安全服务与信息系统生命周期的对应关系
17. 工业控制系统安全：信息安全防护指南
18. 工业控制系统安全：工控系统信息安全分级规范思维导图
19. 工业控制系统安全：DCS防护要求思维导图
20. 工业控制系统安全：DCS管理要求思维导图
21. 工业控制系统安全：DCS评估指南思维导图
22. 工业控制安全：工业控制系统风险评估实施指南思维导图
23. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
24. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图

25. 数据安全风险评估清单

26. 成功执行数据安全风险评估的3个步骤

27. 美国关键信息基础设施数据泄露的成本

28. VMware 发布9.8分高危漏洞补丁

原文始发于微信公众号（祺印说信安）：英国的供应链网络安全评估