网络安全的 10 个步骤之供应链安全

与供应商和合作伙伴协作。

大多数组织依靠供应商来交付产品、系统和服务。对供应商的攻击可能与直接针对自己的组织的攻击一样造成损害。供应链通常庞大而复杂,有效地保护供应链可能很困难,因为漏洞可能在其中的任何一点被固有、引入或利用。第一步是了解您的供应链,包括商品供应商(例如云服务提供商)以及与签订定制合同的供应商。尽可能施加影响并鼓励持续改进,将有助于提高整个供应链的安全性。

有什么好处?

  1. 可以管理在供应链中体现的业务风险

  2. 与供应商和合作伙伴建立更有效的关系,并更好地了解彼此的需求

  3. 清楚地了解负责哪些安全部分,以及依赖供应商做什么

  4. 更好地了解可能影响组织的事件的可见性和早期预警信号

  5. 识别任何对单一供应商的过度依赖

  6. 展示良好的网络安全可以赢得供应商合同,尤其是那些已经需要的政府合同


你怎么办?

了解组织自身的供应链

除非对现有供应链有一个清晰的了解,否则很难确定可以对其进行任何有意义的控制。确保有一份所有供应商和合作伙伴的清单,并确定哪些是最优先(就风险而言)集中精力的。在可能的情况下,包括从优先级最高的直接供应商开始的分包商。

查找现有商品供应商发布的信息,了解其服务的安全性。确保了解合同或许可协议中的条款和条件以及各自负责的安全部分。

与签订了定制合同的供应商合作,了解他们当前的安全状况。这与对他们的要求(如果有的话)以及他们对分包商的要求(专注于处理合同的组织部分)相比如何?了解供应链及其带来的风险将有助于识别任何始终未能达到预期的供应商。

与供应商就各方的安全责任以及乐于委托给他们的分包决策达成共识。

在合同流程中嵌入安全性

将安全考虑纳入合同决策中,并在适当的情况下要求供应商也这样做。为适当的员工建立供应链安全意识和教育,并与他们合作以确保流程符合目的。

在对云服务提供商等商品供应商做出决策时,请在他们的网站上查找已发布的信息,以帮助了解他们是否充分满足安全要求。合同或许可协议中可能有标准条款和条件,因此请确保了解自身负责安全的哪些部分以及它们将做什么。

潜在供应商应提供证据证明他们的安全方法,以及他们满足在合同竞争的不同阶段设定的最低安全要求的能力。最低安全要求(例如用于减轻针对企业技术的商品攻击的Cyber Essentials)应与每个供应商的风险成比例。确保标准合理且可实现,并且不会不必要地推迟寻求与竞争合同的供应商。

避免制造不必要的障碍,并承认并准备承认他们可能拥有的任何现有安全实践或认证,以证明他们如何满足组织最低安全要求。

确保向供应商提供支持指导、工具和流程,使他们能够根据要求有效管理供应链风险。如果是供应商,请确保满足客户的安全要求,包括在未提供指导时向客户和合作伙伴提出挑战。

考虑需要供应商提供哪些支持来维护他们的产品和服务,同样使用供应商或社区支持的可用软件。

确保合同明确规定了供应商在终止或转让合同时返还和删除信息和资产的具体要求。

支持供应链中的组织改进

当供应链中的安全事件有可能影响业务或更广泛的供应链时,请准备好在必要时提供帮助。合同应包括管理和报告安全事件的要求。

倾听通过绩效监控、事件或供应商向上报告突出显示的任何问题并采取行动,这些问题可能表明当前方法未按计划有效运作。

寻求与主要供应商建立信任和战略伙伴关系,与他们分享问题,并鼓励和利用他们的意见来提高集体安全。

在适当的情况下,在网络事件响应练习中涵盖重要的合作伙伴。

(0)

相关推荐

  • 供应商安全管理策略

    供应商安全管理目的是对供应商在服务过程中的信息安全管理提供规范.指导,内容包括供应商的调查.合同协议.服务交付及日常监督等管理过程. 供应商风险分析与评估调查 ▼▼供应商风险分析 当供应商在业务往来过 ...

  • 麦肯锡:应对汽车信息安全的挑战

    后台回复"麦肯锡信息安全",获取麦肯锡原文报告 本文以McKinsey发布的Cybersecurity inautomotive Mastering the challenge的研 ...

  • CCAA 2021年05月ITSMS科目考试多选真题

    原创 Hakan2016 ccaa审核员考试交流 今天 1.IT 服务管理通过哪项工作来改善 IT 服务的质量(ABD) A 定义服务级别普遍适用的指标及绩效准则 B 计划.实施.管理一系列以提供 I ...

  • 华为在中国建立其全球最大的网络安全透明中心

    [东莞,中国,2021年6月9日] 华为最大的网络安全透明中心今天在中国东莞正式启用,来自GSMA.中国.阿联酋.印尼的监管机构及英国标准协会.SUSE及中国移动等代表出席并在活动上发言.借此机会,华 ...

  • 网络安全的 10 个步骤之风险管理

    首先再次祝大家国庆节快乐,假期收获满满! 采取基于风险的方法来保护数据和系统. 承担风险是做生意的自然组成部分.风险管理为决策提供信息,以便在威胁和机会之间取得适当的平衡,以最好地实现组织业务目标.网 ...

  • 网络安全的 10 个步骤之资产管理

    了解管理哪些数据和系统,以及它们支持哪些业务需求. 资产管理包括建立和维护资产所需知识的方式.随着时间的推移,系统通常会有机地增长,并且很难保持对环境中所有资产的了解.事件的发生可能是由于没有完全了解 ...

  • 网络安全的 10 个步骤之漏洞管理

    国庆快乐, 假期最后一天, 祝愿大家归家路上一路畅通! 在整个生命周期内保护系统. 大多数网络安全事件是攻击者利用公开披露的漏洞来访问系统和网络的结果.一旦漏洞被披露,攻击者通常会不加选择地寻求利用漏 ...

  • 网络安全的 10 个步骤之身份鉴别和访问控制

    控制谁和什么可以访问系统和数据. 需要保护对数据.系统和服务的访问.了解谁或什么需要访问,以及在什么条件下,与了解谁需要被排除在外同样重要.必须选择适当的方法来建立和证明用户.设备或系统的身份,并有足 ...

  • 网络安全的 10 个步骤之数据安全

    保护易受攻击的数据. 需要保护数据免遭未经授权的访问.修改或删除.涉及确保数据在传输.静止和寿命结束时受到保护(即,在使用后有效地消除或销毁存储介质).在许多情况下,数据不受组织直接控制,因此考虑可以 ...

  • 网络安全的10个步骤之事件管理

    提前计划对网络事件的响应. 事件可能对组织的成本.生产力和声誉产生巨大影响.但是,良好的事件管理会在事件发生时减少影响.能够检测并快速响应事件将有助于防止进一步的损害,减少财务和运营影响.在媒体聚光灯 ...

  • 网络安全的 10 个步骤之架构和配置

    安全地设计.构建.维护和管理系统. 技术和网络安全格局在不断发展.为了解决这个问题,组织需要确保从一开始就将良好的网络安全融入到他们的系统和服务中,并且这些系统和服务可以得到维护和更新,以有效地适应新 ...

  • 网络安全的 10 个步骤之日志记录和监控分析

    设计系统,使其能够检测和调查事件. 收集日志对于了解系统是如何使用的至关重要,并且是安全(或保护性)监控的基础.如果出现问题或潜在的安全事件,良好的日志记录实践将能够回顾发生的事情并了解事件的影响.安 ...

  • 网络安全的 10 个步骤之安全培训

    协作构建适用于组织中人员的安全性. 人应该是任何网络安全战略的核心. 良好的安全性考虑到人们在实践中的工作方式,并且不会妨碍人们完成工作.人们也可以成为预防事件(或检测何时发生)的最有效资源之一,前提 ...