![供应商关系中的网络安全指南(06) | 信息技术外包流程之供应商管理]( "供应商关系中的网络安全指南(06) | 信息技术外包流程之供应商管理")
《供应商关系中的网络安全指南》
精编版 [独家首发]
在外包IT运营的整个过程中从开始到结束保护您的组织
![供应商关系中的网络安全指南(06) | 信息技术外包流程之供应商管理]( "供应商关系中的网络安全指南(06) | 信息技术外包流程之供应商管理")
5.1 记录组织的供应商管理需求
就时间和资源而言,并非所有供应商都需要同样的供应商管理重点。客户供应商管理工作的范围和频率应反映供应商为客户业务提供 IT 服务的重要性,并以相关网络和信息安全风险评估为基础。这种评估应记录在案,并根据具体合同和整体风险状况的潜在变化定期更新。
如果客户有多个供应商,则应根据业务标准对其进行排序。客户应根据风险评估对其最重要的供应商进行更彻底、更频繁的控制。客户可根据以下相关因素进行风险评估从而制定一份优先供应商名单:
— 交付是否包括客户的关键业务 IT 系统或流程。
— 交付是否包括对社会至关重要的 IT 基础设施或 IT 系统。
— 交付的性质,包括供应商对客户数据的操作责任和访问权限(读取和/或写入数据的权限)。
— 交付中的错误和缺陷数量,以及供应商端的安全隐患。
客户可利用上述因素制定供应商管理计划,并将资源优先用于组织的关键供应商,确保其供应商管理实践以风险为基础,从而产生最高价值。
与供应商管理不足有关的风险
— 供应商将客户需求放在次要位置,而将其他客户放在次要位置。
5.2 设立负责供应商安全管理的职位
由于网络和信息安全是客户供应商管理实践中不可或缺的一部分,客户应设立一个专门的职位,负责管理供应商是否遵守合同中列出的安全要求(见附录 4)。重要的是,该角色应具备足够的供应商管理和安全能力,以进行控制和评估供应商的合规性。由于供应商管理是一门需要法律、财务、信息技术和安全技能的跨职能学科,因此该角色应根据需要让其他组织部门和职能部门的相关人员参与进来。
此外,客户应确保供应商在供应商组织内指定一个类似的角色,负责管理客户—上级供应商关系中的网络和信息安全。该角色应成为客户在网络和信息安全问题上的联络人,包括客户的供应商管理实践,以及在合同期内发生安全事故时的联络人。
设立专门负责组织供应商管理的职位,以确保供应商遵守合同安全要求。
5.3 根据要求对供应商遵守安全要求的情况进行管理
一旦双方签订合同并开始合作,客户就应定期检查供应商是否按要求遵守合同中规定的安全要求。供应商管理使客户能够执行合同,从而有助于确保供应商在合同期内提供约定的服务并履行其义务。
客户应始终积极利用双方签订的合同来管理供应商。例如,客户可以使用风险评估来确定在核实供应商是否遵守合同时应重点关注的安全要求。如果供应商未能满足安全要求,客户必须立即跟进并执行合同。客户有责任指出供应商的违规行为,并确保供应商随后采取必要的安全措施,纠正任何错误和缺陷,以符合合同规定。客户还应确保将其供应商管理活动和结果记录在案,以便执行合同。
供应商管理活动实例
供应商管理可以多种方式进行,包括不同形式的文件和报告。供应商的合规文件可能包括重新报告、声明、风险评估和其他相关的信息安全管理系统(ISMS)文件。此外,供应商管理还包括一系列活动,如
— 客户与供应商之间的状态会议(定期会议或临时会议)。
供应商的报告和客户的供应商管理做法应按合同规定进行。因此,双方都必须留出必要的时间和资源进行准备、记录和跟进。在客户与供应商的状态会议上,安全问题应是议程上的一个固定项目。此外,应在重要会议上做会议记录,并随后由双方加以证明。
此外,客户应考虑是否需要让第三方参与其供应商管理工作。在某些情况下,当局和公司可向丹麦数字政府机构或网络安全中心寻求管理建议,包括帮助确定现有合同中的相关安全要求,并管理供应商遵守这些要求的情况。
根据需要并在风险评估的基础上,对供应商遵守合同安全要求的情况进行定期审核。
5.4 持续进行风险评估,听取供应商的意见
客户应持续进行风险评估,以确定是否需要调整客户—供应商关系中的安全级别,以反映风险状况的变化。风险评估应至少每年更新一次,并在发生任何重大安全事故、重大变更(见第 5.5 节)和供应商审计的基础上进行更新。在更新风险评估后,各方应制定计划,以降低新发现或调整的风险,并将这些计划记录在案。客户应跟进商定的风险处理计划的实施情况。
客户应确保供应商充分参与风险评估。关于与供应商的合作,客户应清楚了解各方在风险管理方面的作用和投入。客户应评估任何损害客户信息的保密性、完整性或可用性的潜在业务影响。在风险评估的基础上,客户应根据组织确定的风险承受能力,决定如何处理(即接受、减轻、转移或避免)已识别的风险,并随后确定资源的优先次序,以有效减轻不可接受的风险。
供应商应考虑供应链中潜在分包供应商的相关意见,对服务供应进行风险评估,从而为客户业务的风险评估做出贡献(见附录 2)。供应商通常可以帮助识别相关风险,并确定其可能性和技术后果,因为供应商详细了解自身的安全措施和用于支持服务交付的 IT 基础结构。因此,客户应确保供应商为客户的风险评估提供有价值的相关威胁和漏洞信息。
根据供应商和任何分包供应商的意见进行持续的风险评估。
在合同期内,客户和/或供应商组织或其内部,或其周围环境可能会发生意外或计划中的变化,从而影响到与提供服务有关的网络和信息安全。因此,双方都必须为维护客户—供应商关系中的安全水平做出贡献。作为网络和信息安全管理工作的一部分,双方应持续评估、记录和处理合同期内发生的任何重大变化。客户应确保供应商及时跟进任何变化,根据合同进行必要的调整并实施额外的安全措施。
在合同期内,双方的组织、业务流程和 IT 基础设施可能会发生变化。客户应特别注意供应商方面可能影响服务交付安全的情况,如供应商的业务战略、财务状况和分包供应商的使用等方面的变化。至于周围环境,客户应特别注意技术发展、威胁环境的变化以及各方运作所依据的监管制度的变化。
此外,客户应确保供应商按照协议规定处理合同期内出现的任何安全事件。由于合同期内的任何变化,也可能有必要修订合同。因此,客户应至少每年审查一次合同,以确保合同仍然符合其安全要求。
在合同期内,处理客户、供应商或其周围可能影响安全的任何安全事件和重大变化。
第七章 信息技术外包流程之终止
明日更新,敬请关注
☆☆精编版PDF可在前沿阵地星球下载☆☆
指南官方链接:
https://www.cfcs.dk/globalassets/cfcs/dokumenter/vejledninger/en/-cyber-security-in-supplier-relationships.pdf
![供应商关系中的网络安全指南(06) | 信息技术外包流程之供应商管理]( "供应商关系中的网络安全指南(06) | 信息技术外包流程之供应商管理")
![供应商关系中的网络安全指南(06) | 信息技术外包流程之供应商管理]( "供应商关系中的网络安全指南(06) | 信息技术外包流程之供应商管理")
原文始发于微信公众号(前沿信安资讯阵地):供应商关系中的网络安全指南(06) | 信息技术外包流程之供应商管理
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2863101.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论