英国供应链安全指南 |
第 3 阶段:将方法应用于新的供应商关系
在新供应商的整个合同生命周期(从采购和供应商选择到合同结束)中嵌入新的安全实践。
第 3 阶段的预期产出。
·网络安全实践贯穿整个收购过程,由受过网络安全培训的专业人员组成的多学科团队提供支持。
·提高员工对供应链威胁的认识。
·根据定义的指标定期衡量绩效,董事会成员可以看到这些指标。
第 3 阶段的步骤:
步骤1:培训团队
步骤2:在整个合同期限内嵌入网络安全控制
步骤3:监控供应商安全绩效
步骤4:向董事会报告进度
步骤1 :培训团队
确保将参与评估供应商的人员:
·了解供应商网络安全带来的威胁
·了解他们在降低风险方面的作用
·了解为组织定义的流程
步骤2 :在整个合同期限内嵌入网络安全控制
在合同生命周期的每一步都考虑网络安全:
1. 如果决定外包给外部供应商,请根据设置的风险标准确定是否需要网络安全风险评估以及评估到什么级别。
2. 在选择供应商期间,进行尽职调查,评估每个供应商满足网络安全控制的能力,并确保这是选择决策过程的一部分。
3. 授予合同时,在供应商合同中规定遵守必要的网络安全控制措施,并与供应商达成一致。
4. 在与供应商签订合同时,确保供应商安全条款有效并符合预期,事件得到适当管理,并及时了解不断变化的威胁和漏洞。
5. 终止合同时,请确保重新获得对资产的控制权,并关闭对信息和系统的任何未经授权或无意的访问。
步骤3:监控供应商安全绩效
一次性评估不足以确保网络安全标准得到满足。定期监控供应商网络弹性中的漏洞将帮助确定存在不足的地方,并与供应商合作解决这些问题(在它们被利用并成为问题之前)。
如何持续保证供应商的安全?
与供应商保持定期对话,以便他们通知更改将有助于确保维护标准,并确定需要解决的任何问题。在这些定期网络安全审查期间,可以从供应商那里收集以下信息:
·组织正在使用的供应商资产列表。
·他们遭受的攻击或违规行为。
·确认他们主动管理、监控和定期审核他们用于访问系统、服务和信息的任何系统或服务账户。
·显示有关安全性能的指标的 KPI,包括正在修补的软件、违规事件、入侵检测系统输出、防火墙输出。
·其自身供应商近期的鉴证活动的结果。
·供应商的事件响应计划多久审查一次?
·供应商最后一次访问是什么时候?
检查自己组织的资产也是确认供应商安全是否得到维护的好方法。这可能包括:
·检查供应商的特权访问是否按预期使用。
·监控系统和服务,以检测未经授权的访问、外部连接、远程访问和数据泄露。
·保留公司网络与第三方之间已批准的网络连接(例如站点到站点 VPN)的列表,并监视网络连接以确保仅存在授权连接。
·对共享组织/供应商基础设施进行渗透测试。
考虑使用第三方工具来持续监控供应商。
有一系列可用的商业工具可以查看和访问供应商面向公众的流量,并尝试评估正在发送的任何数据包中的漏洞。虽然这可能不代表对供应商能力的精确测试,但报告的自动化和实时性可能会提醒重大变化,这可能会促使与相关供应商进行对话。
作为任何服务水平协议的一部分,可能希望正式确定供应商如何证明其符合其同意实施的控制措施。这些应该是可衡量的,并尽可能应用自动化。这些应在合同义务中定义,可能包括:
·将进行的监测范围
·预期要收集的数据集
·日志/数据交接或传送机制
·保证所捕获数据的完整性和安全性
·如何使用这些信息
·对超出定义阈值的发现的反应
·事件管理和报告的详细信息
步骤4 步:向董事会报告进度
在第2 阶段“制定评估供应链网络安全的方法”中,您同意了适当的治理结构、实施该方法的角色和责任,并定义了包含决策标准的明确流程。重要的是要坚持这种治理,以确保引入的网络安全实践保持相关性,并最终实现帮助保护供应链的目标。
定义向董事会报告的成功标准和指标,采用一致的方法和频率,以便董事会了解风险级别。可以考虑的一些报告指标包括:
·评估了多少百分比的供应商/分包商?
·其中有多少比率是合规的?
·供应商最后一次评估是什么时候?
·是否有任何供应商有重大问题需要解决?
·我们对供应链中的关键供应商有看法吗?
·自上次更新以来发生了哪些高严重性问题?
董事会成员如何帮助对供应链网络安全进行强有力的评估。
董事会应确保他们了解组织在维护供应链网络保证方面的限制,并在可能的情况下采取行动缓解这些限制。例如,通过投资持续监测所需的工具和复苏。
-
-
>>>等级保护<<< -
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
信息安全服务与信息系统生命周期的对应关系 -
>>>工控安全<<< -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图 -
>>>数据安全<<< -
>>>供应链安全<<<
-
美国政府为客户发布软件供应链安全指南 -
OpenSSF 采用微软内置的供应链安全框架 -
供应链安全指南:了解组织为何应关注供应链网络安全 -
供应链安全指南:确定组织中的关键参与者和评估风险 -
供应链安全指南:了解关心的内容并确定其优先级 -
思维导图:ICT供应链安全风险管理指南思维导图 -
英国的供应链网络安全评估
原文始发于微信公众号(河南等级保护测评):供应链安全指南:将方法应用于新的供应商关系
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论