![供应商关系中的网络安全指南(02) | 信息技术外包流程之规划阶段]( "供应商关系中的网络安全指南(02) | 信息技术外包流程之规划阶段")
《供应商关系中的网络安全指南》
精编版 [独家首发]
在外包IT运营的整个过程中从开始到结束保护您的组织
每个 IT 外包流程都有一个周期,可分为若干阶段。本指南的结构如下所示的六个阶段。从最初的规划阶段到客户与供应商关系的终止,每个阶段都应考虑到网络和信息安全问题。CFCS 对各个阶段的建议将在以下章节中详细阐述。
在外包方面,丹麦公共当局并不总是可以自由选择供应商,因为有些当局依法必须使用特定的供应商。例如,许多国家机关的 IT 业务都是通过皇家法令外包给丹麦政府 IT 服务局的。通常情况下,无论公共机构是自由选择供应商,还是必须使用特定供应商,本指南的建议都适用。不过,在向丹麦政府信息技术服务局外包服务时,有一些特殊情况会影响到公共机构在客户—供应商关系中对网络和信息安全的管理(见附录 3)。
![供应商关系中的网络安全指南(02) | 信息技术外包流程之规划阶段]( "供应商关系中的网络安全指南(02) | 信息技术外包流程之规划阶段")
当客户计划外包其全部或部分 IT 业务时,组织的管理人员应在外包准备工作中纳入一些网络和信息安全考虑因素。这些考虑因素可记录在外包计划或类似战略中,因为它们是组织一般网络和信息安全管理的一部分。企业高管应考虑相关内部因素(如安全要求、风险偏好和组织结构)以及外部因素(包括法律要求和其他合同承诺)。这些因素概述如下:
在规划阶段,客户首先要考虑的是计划外包的 IT 系统的关键性。在客户为供应商设定安全要求并确定随后确保供应商遵守这些要求的步骤时,IT 系统对客户业务的关键性起着至关重要的作用。关于如何评估组织 IT 资产的关键性,可参阅出版物《丹麦数字政府机构 2021》。
在决定外包 IT 运营时,客户还应考虑其业务需求。客户应进行分析以确定其业务需求,并描述计划外包背后的业务目标,同时考虑到组织内的所有相关利益方。外包会带来战略和运营方面的优势,客户应加以考虑,部分优势如下图所示:
图 3 信息技术外包的潜在优势
外包通常涉及客户必须放弃对外包给供应商的 IT 业务的直接控制。因此,在做出外包的最终决定之前,企业高管应考虑企业 IT 运营中是否有不能外包的部分。例如,由于外包存在风险,客户可能希望完全控制关键业务 IT 系统或特别敏感的信息。放弃控制权的意愿通常与客户的风险偏好成正比。
在评估组织 IT 系统的重要性时,组织管理人员还应考虑外包安排是否涉及关键 IT 基础设施或对社会至关重要的 IT 系统。如果是,客户应考虑是否需要在组织内部实施额外的安全措施,并对供应商提出进一步的网络和信息安全要求。
关键信息技术基础设施的定义
重要社会职能的定义
对社会至关重要的信息技术系统的定义
发生重大故障会给整个社会带来重大挑战的 IT 系统。IT 系统的不可用性和不稳定运行会对社会和对社会至关重要的流程的维护造成重大影响。
组织管理人员在规划阶段应考虑的外部条件可能包括与其他供应商的现有合同中的承诺或与外包信息技术有关的特殊规则和条例。法律要求、其他法规和合同承诺可能会缩小可外包 IT 系统的范围和可接受供应商的地理位置,或规定某些信息应如何处理和保护。例如,根据外包计划,客户可能需要考虑与保护机密信息和个人数据相关的要求,以及地点要求规则和出口控制。根据《丹麦外国直接投资筛选法》的规定,关键基础设施的外包可能还需获得丹麦商业管理局的许可。
记录与计划外包相关的、可能影响组织网络和信息安全的内部和外部因素。
1.2 绘制组织的业务流程、IT 基础设施和数据地图
如果客户在决定外包 IT 系统时没有全面了解企业的业务流程、IT 基础设施和数据流,就可能出现新的漏洞,带来本可以预见和预防的新的网络和信息安全风险。
因此,在决定外包之前,客户应全面了解 IT 基础设施的构成和数据流,以及组织内部不同 IT 系统之间的相互依赖关系和接口。这将使客户更容易选择外包 IT 基础设施的哪些部分和技术堆栈的哪些层级,并向供应商充分详细地描述这些部分和层级。如果以前进行过这种映射,则必须进行更新,以提供客户业务流程和基础 IT 基础设施的准确情况。
确定组织的业务流程,重点关注底层 IT 基础设施,包括数据流和相互依赖关系。
1.3 进行风险评估并决定风险缓解措施
在规划阶段,客户应进行风险评估,重点关注与计划外包相关的、可能影响客户信息的保密性、完整性和可用性的特定风险。这是一个重要步骤,因为信息技术外包可能会给客户带来新的网络和信息安全风险,从而改变其组织的风险状况。此外,风险评估还能让客户随后确定对供应商的相关安全要求,以降低与计划外包相关的特定风险。
计划外包的风险评估可纳入组织的一般风险管理框架,并应根据记录在案的流程和方法进行。如需了解如何进行风险评估,请参阅 ISO/IEC 27005 或(丹麦数字政府机构 2020a)。
下面列出了客户风险评估中可能需要考虑的外包因素。该清单并非详尽无遗,仅包括客户在决定外包 IT 服务时应考虑的部分风险:
• 供应商方面的重大变化会影响服务供应,如供应商搬迁到另一个国家、更换分包供应商或被另一家公司接管。
• 由于客户将部分风险管理交由供应商负责,客户应确保供应商持续为客户的风险评估做出贡献,例如分享相关威胁和漏洞方面的知识。
• 客户的安全要求与供应商的风险偏好和安全级别不一致,会导致风险管理不足。相反,如果供应商的组织在网络和信息安全方面更加成熟,外包有可能提高客户的安全性。
• 网络犯罪、网络间谍和破坏性网络攻击的威胁,因为外包可能会增加客户对黑客的攻击面。这类风险包括供应链攻击,黑客利用供应商或供应商其他客户的漏洞,试图入侵客户。
• 客户没有管理权限的供应商和分包供应商员工可以对客户资产进行物理和逻辑访问。
• 供应商可以深入了解客户的组织结构、业务流程、安全措施、内部程序等。
• 供应商提供所需文件的意愿和客户对供应商的管理范围可能受到限制。
• 客户或供应商任何不遵守法律要求或相关规定的行为都会给客户带来风险。
• 安全事故的潜在影响取决于外包 IT 系统的业务关键性和客户信息的敏感性。
• 与终止客户—供应商关系和继续客户 IT 操作有关的挑战,包括核实客户数据是否确实已由供应商按约定删除。
• 与外包有关的潜在风险,可能给客户的其他供应商关系带来意想不到的后果。这一点与多方外包尤其相关,多方外包是指将 IT 业务和服务同时承包给多个供应商的外包方式。
一旦客户确定了与计划外包相关的风险,他们就应制定计划,说明如何在客户与供应商的关系中处理这些风险,将其降低到客户可接受的水平。一种方法是在合同和相关附录中对供应商提出相关的安全要求(见第 2 节 “安全要求”)。所有降低风险的措施都应记录在风险处理计划中。客户的一些风险缓解措施当然会转移给供应商,但有些措施仍将由客户负责。因此,在最终决定外包哪些任务之前,客户应考虑自己与供应商之间的责任分工。
进行风险评估,重点关注与计划外包有关的、可能影响组织网络和信息安全的特定风险。
多重外包对客户的风险和供应商管理提出了更高的要求
许多组织选择将其 IT 业务承包给多家供应商,而不是将整个 IT 组合交给一家供应商。其动机包括财务优势、灵活性和获得更专业化的服务。但不利的一面是,多重外包增加了客户 IT 基础设施的复杂性,同时也增加了攻击面。因此,多重外包对客户的风险和供应商管理流程提出了更高的要求,而这一因素应纳入多重外包的总体决策中。如果企业计划采用多重外包,企业高管应制定外包战略,并就如何处理与供应商的合作建立标准化流程和生命周期,其中安全是整个外包流程的关键因素。
1.4制定客户与供应商关系中的网络安全政策
客户还应在客户风险评估和一般网络与信息安全政策的基础上,制定单独的客户与供应商关系中的组织网络与信息安全管理政策。该政策的目的是为组织管理与 IT 业务外包相关的网络和信息安全制定总体框架。
该政策应确定组织的战略目标和客户—供应商关系中网络与信息安全管理的总体要求,包括双方必须执行的一般流程、程序和准则。此外,该政策还应概述客户组织中处理供应商管理以及网络和信息安全管理的相关角色之间的任务和职责分工(见第 1.5 节和附录 4)。通过这种方式,该政策有助于确保客户建立起一个随时准备在客户—供应商在关系中管理网络和信息安全的组织。
就组织在客户—供应商关系中的网络和信息安全管理制定单独的政策。
1.5 建立有效管理供应商的内部组织
与保持内部服务相比,将 IT 业务外包给具有强大网络安全能力的供应商可以降低客户的网络安全风险。无论如何,管理客户与供应商关系中的网络和信息安全是一项持续的跨组织任务。因此,企业高管应确保在企业内部建立一个合适的供应商管理组织。供应商管理是一个需要在组织内部明确职责,并在法律专业知识、融资、信息技术、安全等方面拥有充足资源的领域。组织的供应商管理通常包括许多不同的角色和职能,如
附录 4 举例说明了在外包网络和信息安全管理中如何在上述角色之间划分任务和职责。根据客户的规模和组织情况,一名员工可能同时承担多个角色。
有效的供应商管理需要组织高管制定正确的优先事项,并在整个组织内开展合作。
在规划阶段,组织管理人员还应决定哪些网络和信息安全责任和能力应保留在内部,哪些应外包给供应商。例如,客户可能会决定外包一些技术安全任务,因为这样既能获得供应商的专业知识,又能优化内部资源的使用。因此,将特定任务外包给具有专业能力的供应商可能对客户有利。不过,客户应始终牢记,在客户与供应商的关系中,安全管理需要技能和经验,而且即使在外包之后,保护组织 IT 系统和信息的责任仍然属于客户。
因此,在外包方面,组织管理人员应确保组织保留相关的内部安全能力,以管理其供应商。组织的管理人员还应确保组织有记录在案的程序和相关的信息技术支持,以便对供应商进行管理。
建立有效管理供应商关系的内部组织,明确职责,配备充足的资源和能力,记录流程并提供必要的信息技术支持。
第三章 信息技术外包流程之安全要求
明日更新,敬请关注
☆☆精编版PDF可在前沿阵地星球下载☆☆
指南官方链接:
https://www.cfcs.dk/globalassets/cfcs/dokumenter/vejledninger/en/-cyber-security-in-supplier-relationships.pdf
![供应商关系中的网络安全指南(02) | 信息技术外包流程之规划阶段]( "供应商关系中的网络安全指南(02) | 信息技术外包流程之规划阶段")
![供应商关系中的网络安全指南(02) | 信息技术外包流程之规划阶段]( "供应商关系中的网络安全指南(02) | 信息技术外包流程之规划阶段")
原文始发于微信公众号(前沿信安资讯阵地):供应商关系中的网络安全指南(02) | 信息技术外包流程之规划阶段
评论