|
組織如何映射其供應(yīng)鏈依賴關(guān)系�����,以便更好地理解和管理供應(yīng)鏈中的風(fēng)險(xiǎn)。 介紹本指南面向大中型組織�,他們需要獲得信心或保證緩解與供應(yīng)商合作相關(guān)的漏洞已到位。
什么是供應(yīng)鏈映射����?供應(yīng)鏈映射 (SCM) 是記錄、存儲和使用從公司供應(yīng)鏈中涉及的供應(yīng)商收集的信息的過程�。目標(biāo)是對您的供應(yīng)商網(wǎng)絡(luò)有最新的了解,以便更有效地管理網(wǎng)絡(luò)風(fēng)險(xiǎn)����,并進(jìn)行盡職調(diào)查。 許多組織依靠供應(yīng)商來交付產(chǎn)品��、系統(tǒng)和服務(wù)����。供應(yīng)鏈通常龐大而復(fù)雜,有效地保護(hù)供應(yīng)鏈可能很困難�,因?yàn)榇嗳跣钥赡茉谄渲械娜魏我稽c(diǎn)是固有的、引入的或被利用的���。這使得很難知道您是否在整個(gè)供應(yīng)鏈中擁有足夠的保護(hù)�����。 注:SCM遵循一切良好風(fēng)險(xiǎn)管理的原則����;組織需要了解其供應(yīng)鏈中固有的風(fēng)險(xiǎn)�,然后引入與這些風(fēng)險(xiǎn)具體化的可能性(和影響)成比例的安全措施。 供應(yīng)鏈管理的好處了解供應(yīng)商是誰����、提供什么以及如何提供將幫助管理可能出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。映射供應(yīng)鏈可以根據(jù)風(fēng)險(xiǎn)做出更明智的業(yè)務(wù)決策��,具體而言: 更好地洞察可以通過合同更容易執(zhí)行的網(wǎng)絡(luò)安全考慮因素 更充分地準(zhǔn)備應(yīng)對與供應(yīng)鏈相關(guān)的網(wǎng)絡(luò)事件 建立可重復(fù)方法的能力�����,使您對供應(yīng)商的安全實(shí)踐充滿信心��,并可以建立長期合作伙伴關(guān)系 更容易遵守法律��、法規(guī)和/或合同責(zé)任 定期評估供應(yīng)鏈將降低網(wǎng)絡(luò)攻擊或破壞的可能性
不可能完全根除供應(yīng)鏈攻擊���。如果出現(xiàn)風(fēng)險(xiǎn)����,能夠快速響應(yīng)將限制對組織造成損害的范圍。
SCM 應(yīng)包含哪些信息���?以一致的方式收集有關(guān)供應(yīng)商的信息并將其存儲在訪問受控的集中存儲庫中��,將確保更易于分析和維護(hù)�。這最終將能夠更好地管理風(fēng)險(xiǎn)�,因?yàn)閷⑷媪私馐冀K保持最新狀態(tài)的供應(yīng)鏈。 可能有用的典型信息包括: 供應(yīng)商及其分包商的完整清單��,顯示他們?nèi)绾蜗嗷ヂ?lián)系 提供什么產(chǎn)品或服務(wù)�����,由誰提供��,以及該資產(chǎn)對您的組織的重要性 組織和供應(yīng)商之間的信息流動(dòng)(包括對該信息價(jià)值的理解) 供應(yīng)組織內(nèi)的保證聯(lián)系人 與上次評估的完整性有關(guān)的信息�、下一次保證評估到期時(shí)間的詳細(xì)信息以及任何未完成的活動(dòng) 任何所需認(rèn)證的證明,例如 Cyber Essentials�、ISO 認(rèn)證、產(chǎn)品認(rèn)證
獲取這些信息可能是一項(xiàng)艱巨的任務(wù)�����,尤其是對于擁有復(fù)雜供應(yīng)鏈的大型組織而言。 注意:此信息對攻擊者來說是一個(gè)很有吸引力的目標(biāo)�,因此所有 SCM 資產(chǎn)都應(yīng)保存在一個(gè)安全的存儲庫中��,該存儲庫具有支持其設(shè)計(jì)的強(qiáng)大安全架構(gòu)�����。 映射供應(yīng)商的工具有關(guān)現(xiàn)有供應(yīng)商的信息可能已經(jīng)存在于采購系統(tǒng)中���。如果供應(yīng)商有多個(gè)入口點(diǎn)�����,則需要匯總相關(guān)信息����。根據(jù)組織的規(guī)模�,考慮商業(yè)工具可能會有所幫助,這些工具可以: 協(xié)調(diào)現(xiàn)有的供應(yīng)鏈信息 幫助使有關(guān)供應(yīng)商保證的信息保持最新 監(jiān)控超出初始層級的供應(yīng)鏈��,并識別承包商和分包商的集中風(fēng)險(xiǎn) 更容易連接��、交互和可視化供應(yīng)鏈
供應(yīng)鏈中的分包商供應(yīng)鏈中任何地方存在的漏洞�,無論是在您的直接供應(yīng)商中��,還是在他們分包給的供應(yīng)商中����,都可能影響組織�。對于大型組織而言,圍繞了解主要層級以外的實(shí)用性和有用性的決策應(yīng)該進(jìn)行評估����,并且最初應(yīng)該僅捕獲有關(guān)直接承包商的信息。 需要沿著供應(yīng)鏈走多遠(yuǎn)�����?究竟分包了什么�����,其重要性如何(考慮到組織的風(fēng)險(xiǎn)標(biāo)準(zhǔn))�����?這些問題需要預(yù)先考慮獲取信息的需求與獲取信息的成本����。你應(yīng)該: 確定使用的技術(shù)��、系統(tǒng)和服務(wù)的重要性 考慮準(zhǔn)備投入多少精力來建立整個(gè)供應(yīng)鏈 與主要供應(yīng)商簽訂合同條款���,以提供貫穿其供應(yīng)鏈的可見性 向供應(yīng)商保證如何使用這些信息以及誰可以訪問這些信息,因?yàn)楣?yīng)商可能對共享商業(yè)敏感信息持謹(jǐn)慎態(tài)度 使用此共享信息了解直接一級供應(yīng)商正在使用的主要共享供應(yīng)商�����,突出集中風(fēng)險(xiǎn) 確?��?紤]了數(shù)據(jù)供應(yīng)鏈(也就是說,產(chǎn)品可能會使用來自第三方的數(shù)據(jù)���,甚至依賴于其他人的數(shù)據(jù))
供應(yīng)商和分包商的合同條款與供應(yīng)商和分包商簽訂的合同應(yīng)考慮以下條款: 事件管理響應(yīng)和通知時(shí)間框架以響應(yīng)違規(guī)(以及為組織提供支持以找到根本原因) 審計(jì)供應(yīng)商/分包商的能力(以及預(yù)期的審計(jì)頻率) 數(shù)據(jù)管理(只有必要的數(shù)據(jù)可以從組織網(wǎng)絡(luò)中傳輸出來) 數(shù)據(jù)完整性(數(shù)據(jù)是否通過身份驗(yàn)證和加密受到保護(hù)����,如果數(shù)據(jù)保存在供應(yīng)商平臺上�����,數(shù)據(jù)會被隔離嗎����?) 供應(yīng)商訪問物理站點(diǎn)�、信息系統(tǒng)和知識產(chǎn)權(quán)的管理控制(包括確保其保持最新的過程) 您的直接供應(yīng)商應(yīng)從其供應(yīng)鏈中提出的任何要求(如上所述)
入門方法取決于組織的采購和風(fēng)險(xiǎn)管理流程�,以及可以使用的工具。以下是首次采用 SCM 的組織的一組頂級優(yōu)先事項(xiàng)���。 使用現(xiàn)有的商店(例如采購系統(tǒng))來構(gòu)建已知供應(yīng)商的列表�����。優(yōu)先考慮對組織至關(guān)重要的供應(yīng)商����、系統(tǒng)�����、產(chǎn)品和服務(wù)����。 確定哪些信息有助于捕獲有關(guān)供應(yīng)鏈的信息。 了解如何安全地存儲信息并管理對信息的訪問����。 確定是否要收集有關(guān)您的供應(yīng)商分包商的信息���,以及該鏈向下多遠(yuǎn)是有用的。 考慮使用額外的服務(wù)來評估供應(yīng)商并提供有關(guān)其網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況的補(bǔ)充信息��。 對于新供應(yīng)商���,請?jiān)诓少徚鞒讨蓄A(yù)先說明希望供應(yīng)商提供什么�����。 對于現(xiàn)有供應(yīng)商��,告知他們您想要獲取有關(guān)他們的哪些信息以及原因,并將從現(xiàn)有供應(yīng)商處收集的信息改進(jìn)到一個(gè)集中存儲庫中�。
更新標(biāo)準(zhǔn)合同條款,以確保在開始與供應(yīng)商合作時(shí)將所需信息作為標(biāo)準(zhǔn)提供��。 定義組織中最適合使用此信息的人員�;這可能包括采購、企業(yè)主����、網(wǎng)絡(luò)安全和運(yùn)營安全團(tuán)隊(duì)。讓他們了解信息存儲并提供訪問權(quán)限���。 考慮創(chuàng)建一個(gè)劇本來處理事件發(fā)生的情況�,您可能需要在擴(kuò)展的供應(yīng)鏈和第三方(例如執(zhí)法部門、監(jiān)管機(jī)構(gòu)甚至客戶)之間協(xié)調(diào)工作��。 最后�,記錄由于供應(yīng)鏈映射而需要在采購流程中更改的步驟。例如�,可能需要考慮將無法令人滿意地證明滿足最低網(wǎng)絡(luò)安全需求的供應(yīng)商排除在外。
|
