《供应商关系中的网络安全指南》
精编版 [独家首发]
在外包IT运营的整个过程中从开始到结束保护您的组织
许多公共机构和私营公司选择将其全部或部分信息技术业务外包给外部供应商。一方面,从商业角度来看,外包可能是一个明智的决定,它可以使组织专注于其核心业务活动,确保提供运行 IT 业务所需的专业技能,释放资源用于其他目的等。另一方面,外包也伴随着巨大的风险,可能会对组织的网络和信息安全造成不利影响。因此,供应商管理是任何外包组织实现有效网络防御的关键因素。
外国政府和网络犯罪分子经常通过供应链攻击受害者,他们会让供应商妥协,并把供应商作为跳板,让目标陷入妥协。因此,外包组织需要为他们的供应商设定相关的安全要求,并进行持续的审计,以确保供应商在整个合同期内符合要求。
供应链面临的网络威胁
有关针对供应链的网络威胁的更多信息,请阅读 CFCS 的威胁评估 “针对供应商的网络攻击” 和 “针对 IT 服务提供商的网络威胁”(CFCS 2019 和 2020)。
此外,外包往往使企业对外包的 IT 业务几乎没有控制权。即使将选定的 IT 系统外包给外部供应商,企业仍有责任保护自己的系统和内部信息,而供应商管理可以帮助完成这项任务。
本指南为计划外包 IT 业务的组织提供了如何在客户—供应商关系中管理网络和信息安全的步骤。指南就企业如何在外包流程的各个阶段管理网络和信息安全风险提出了建议。本指南不包括组织与供应商合作的其他方面,如采购、投标和合同管理。
以下是一套关于如何管理与 IT 外包相关的网络和信息安全的总体建议。这些建议的编号反映了外包流程的进展阶段。每个阶段将在下文的不同章节中分别阐述。由于某些业务领域、部门或行业可能存在本指南未涵盖的特殊风险、标准或安全要求,因此以下建议并非详尽无遗。
|
|
|
|
|
1.1 记录与计划外包相关的、可能影响组织网络和信息安全的内部和外部条件。
1.2 确定组织的业务流程,重点是底层 IT 基础设施,包括数据流和相互依赖关系。
1.3 进行风险评估,重点关注与以下方面有关的特殊风险,比如可能影响组织网络和信息安全的外包计划。
1.4 就组织在客户—供应商关系中的网络和信息安全管理制定单独的政策。
1.5 建立有效管理供应商关系的内部组织,明确职责,配备充足的资源和能力,记录程序和必要的信息技术支持。
|
|
|
2.1 根据风险评估,对供应商的网络和信息安全制定相关要求。
2.2 对供应商网络和信息安全提出要求,重点是预期效果而不是具体的解决方案模式。
2.3 在制定供应商安全要求时,考虑外部指导和援助的必要性,包括各相关方的参与。
|
|
|
3.1 根据相关标准和对供应商满足安全和其他要求的整体能力深入评估,选择供应商。
|
|
|
4.1 与供应商就客户—供应商关系中网络和信息安全管理进行明确的角色和责任分工。
4.2 建立合作框架和正式程序,以处理以下问题与供应商的对话,包括日常沟通以及在发生安全事件和紧急情况时的沟通。
|
|
|
5.2 设立专职岗位,负责组织的供应商管理,确保供应商遵守合同安全要求。
5.3 根据需要并在风险评估的基础上对供应商遵守合同安全要求的情况进行定期审计。
5.4 进行持续的风险评估,包括供应商和任何分包供应商的投入。
5.5 处理合同期内客户、供应商或其周围可能影响安全的任何安全事件和重大变化。
|
|
|
6.1 在客户与供应商关系终止期间,保持网络和信息安全水平。
|
客户与供应商关系的多个方面都有可能影响客户的网络和信息安全。本指南重点关注与 IT 外包相关的客户—供应商关系中的网络和信息安全问题。
本指南主要面向负责组织供应商日常管理的人员。导言和规划阶段部分也面向对客户网络和信息安全负总责的组织高管,因此他们需要对外包相关的角色和责任有深刻的认识。
本指南的结构反映了外包流程的各个阶段。每个阶段都包含与网络和信息安全有关的具体注意事项,需要在客户—供应商关系中加以解决。因此,无论组织在具体的外包流程中处于哪个阶段,本指南都是适用的。例如,本指南既可用于启动新的外包流程,也可用于根据已有合同管理供应商。
信息技术(IT)业务外包
在本指南中,IT 业务外包被定义为企业聘请第三方管理其全部或部分 IT 业务的一种商业做法。外包可能包括 IT 系统、应用程序、IT 基础设施和 IT 服务,由供应商处理日常 IT 操作,可能还包括维护、支持和开发等任务。如果这些任务由多个供应商处理,企业应监控每个供应商的安全级别。一般来说,IT 设备和产品的日常维护不在定义范围内,除非是重大 IT 采购,其中还包括外包操作任务。
在本指南中,外包组织被称为 “客户”,而为客户处理 IT 业务的组织被称为 “供应商”。为简明起见,本指南将统一使用这些术语,但在外包之前的某些招标过程中,客户和供应商的角色也分别称为 “招标方” 和 “投标方”。
下图说明了外包 IT 业务时客户—供应商关系中任务和责任的典型分配情况。即使外包了 IT 系统的日常运行,客户仍有责任保护自己的 IT 系统和信息。因此,客户必须在整个合同期内定期重新审查供应商的表现和安全性。
![供应商关系中的网络安全指南(01) | 开篇序言]( "供应商关系中的网络安全指南(01) | 开篇序言")
图 1 客户—供应商关系中的任务和责任分配
由于该指南对与 IT 外包相关的网络和信息安全管理采用了通用方法,因此其建议也适用于云服务提供商的使用。有关如何管理云服务提供商的具体建议,请参阅(CFCS 和丹麦数字政府机构 2020)。
在许多情况下,丹麦公共机构有法律义务在外包 IT 业务之前进行竞争性招标。在这种情况下,当局有责任遵守《丹麦招标法》的规定。本指南未对任何此类义务做出规定。
不过,在公共 IT 采购方面,丹麦公共机构通常会通过国家或社区信息服务公司(SKI)或国家信息服务公司(SI)使用框架协议。这可能会造成一些混乱,不知道谁负责确保供应商遵守框架协议和供应合同。附录 1 概述了丹麦公共机构通过 SKI 或 SI 使用框架协议时各方在供应商管理方面的责任分工。
供应链的强度取决于其最薄弱的环节
在本指南中,IT 业务外包被定义为企业聘请第三方管理其全部或部分 IT 业务的一种商业做法。外包可能包括 IT 系统、应用程序、IT 基础设施和 IT 服务,由供应商处理日常 IT 操作,可能还包括维护、支持和开发等任务。如果这些任务由多个供应商处理,企业应监控每个供应商的安全级别。一般来说,IT 设备和产品的日常维护不在定义范围内,除非是重大 IT 采购,其中还包括外包操作任务。
客户及其供应商通常是客户—供应商关系链中较长的一环,其中可能还包括分包供应商。这就是通常所说的供应链。供应链通常跨越多个实体,客户通常使用不止一个供应商,供应商通常拥有多个客户。供应商在交货时通常会使用分包供应商,这最终可能会影响客户的网络和信息安全。因此,客户必须了解供应商使用的任何分包供应商。附录 2 列出了客户应了解的与供应链有关的一些问题和注意事项。
第二章 信息技术外包流程之规划阶段
明日更新,敬请关注
☆☆精编版PDF可在前沿阵地星球下载☆☆
指南官方链接:
https://www.cfcs.dk/globalassets/cfcs/dokumenter/vejledninger/en/-cyber-security-in-supplier-relationships.pdf
原文始发于微信公众号(前沿信安资讯阵地):供应商关系中的网络安全指南(01) | 开篇序言
评论