介紹

　　今天我們一起探討提高組織對供應鏈安全的認識，并通過繼續采用良好實踐幫助提高這方面的基本能力水平。

　　大多數組織依靠供應商來交付產品、系統和服務。自己可能有許多供應商，這就是我們開展業務的方式。

　　供應鏈可能龐大而復雜，涉及許多供應商做許多不同的事情。有效地保護供應鏈可能很困難，因為漏洞可能是固有的，或者在供應鏈的任何一點被引入和利用。脆弱的供應鏈可能會造成系統業務損害和中斷。

　　盡管存在風險，許多公司卻忽視了他們的供應鏈安全。根據2016年安全漏洞調查，很少有英國組織為其供應商設定最低安全標準，那么反觀我們國內呢？大家各自都可以做一番考察或考量。

　　一系列針對組織的高調、極具破壞性的攻擊表明，攻擊者有利用供應鏈安全漏洞的意圖和能力，趨勢是真實的并且正在增長。因此，是時候采取行動面對供應鏈安全了，其必要性是顯而易見的。

　　12條原則

　　這些原則旨在幫助組織獲得并保持對供應鏈安全的必要控制水平

　　一、了解風險

　　前三個原則涉及信息收集階段。

　　除非對供應鏈有一個清晰的了解，否則很難對其進行任何有意義的控制，了解風險非常有必要，組織需要投入適當的努力和資源來實現這一目標。

　　1. 了解需要保護的內容以及原因

　　你應該知道：

　　出租或將出租的合同的敏感性。

　　作為合同的一部分，供應商持有、將持有、有權訪問或處理的組織信息或資產的價值。

　　考慮需要供應商為組織的資產和信息提供何種程度的保護，以及他們將作為合同的一部分提供的產品或服務。

　　2. 了解供應商是誰并了解他們的安全狀況

　　應該知道：

　　誰是組織的供應商。需要考慮在供應鏈中走多遠才能獲得對供應商的理解和信心。

　　可能不得不依賴直接供應商提供有關分包商的信息，并且可能需要一些時間來確定供應鏈的全部范圍。

　　供應商當前安全安排的成熟度和有效性。 例如，可以使用 CPNI 人員安全成熟度模型來評估供應商人員安全安排的成熟度。這個評估我個人暫時不知道在國內是否有對應的手段，不過為我們提供了一種思考和思路。

　　要求直接供應商提供哪些安全保護，以及他們又要求任何分包商做什么：

　　確定供應商及其分包商是否提供了要求的安全要求。

　　了解供應商對系統、場所和信息的訪問權限（物理和邏輯）以及將如何控制它們。

　　了解直接供應商如何控制他們雇用的任何分包商對信息和/或資產（包括系統和場所）的訪問和使用。

　　應該在這方面的工作重點放在供應商業務或系統中用于處理合同信息或交付合同產品或服務的部分。

　　3. 了解供應鏈帶來的安全風險

　　評估這些安排對信息或資產、要交付的產品或服務以及更廣泛的供應鏈構成的風險。

　　風險來源

　　進出供應鏈的風險可以有多種形式。例如，供應商可能無法充分保護他們的系統，可能有惡意的內部人員，或者供應商的員工可能無法正確處理或管理客戶組織信息。

　　可能是沒有很好地傳達客戶組織安全需求，因此供應商做了錯誤的事情，或者供應商可能故意通過惡意行為來破壞客戶系統（這可能受到國家安全應用程序的影響）。

　　使用最好的信息來了解這些安全風險。例如：

　　常見的網絡攻擊 - 減少影響

　　內幕數據收集報告

　　內幕風險評估

　　CPNI 員工風險整體管理 （HomER）。

　　此處還提供了對供應鏈的四種已知網絡攻擊（第三方軟件提供商、網站建設者、第三方數據存儲和水坑攻擊）的描述 。

　　正確緩解

　　了解與供應鏈相關的風險是確保安全措施和緩解措施相稱、有效和響應迅速的關鍵。

　　使用這種理解來決定希望供應鏈中的供應商為任何合同信息以及合同產品或服務提供的適當保護級別。

　　行動計劃

　　根據以下考慮，將不同的工作、合同或供應商分為不同的風險狀況可能會很有用：任何損失、損壞或中斷對用戶運營的影響、可能威脅的能力、他們提供的服務的性質正在提供的信息、他們正在處理的信息的類型和敏感性等。每個配置文件都需要稍微不同的處理，以反映客戶組織對相關風險的看法。這可能會使事情更容易管理和控制。

　　客戶組織應該記錄這些決定并與供應商分享。例如，可能會決定，提供文具或清潔服務等基本商品的合同與提供關鍵服務或產品的合同需要非常不同的管理方法。