發(fā)布日期:2023-02-08瀏覽次數(shù): 次信息來源: 天睿咨詢-顏家平
MMOGV5版中2.5.1.2 F3:組織應(yīng)制定有關(guān)供應(yīng)鏈網(wǎng)絡(luò)安全威脅的政策。為減少風險而開展的典型供應(yīng)鏈網(wǎng)絡(luò)安全活動,包括從可信賴的供應(yīng)商處采購的活動,在需要時將關(guān)鍵設(shè)備與外部網(wǎng)絡(luò)斷開連接的能力,以及培訓(xùn)用戶應(yīng)對威脅和采取保護措施的能力等。
當今供應(yīng)鏈是建立在數(shù)字連接的網(wǎng)絡(luò)之上,頻繁的交互都可能遭到黑客或者別有用心的人的攻擊。即使由于各種原因引起的中斷,后果也是非常嚴重的。針對當前供應(yīng)鏈網(wǎng)絡(luò)安全重要性日益凸顯的情況,MMOG編寫者對企業(yè)和供應(yīng)商提出了網(wǎng)絡(luò)風險評估和應(yīng)對條款。
圖片:來源于網(wǎng)絡(luò)
企業(yè)與供應(yīng)鏈部門首先要充分關(guān)注供應(yīng)鏈網(wǎng)絡(luò)安全,因為供應(yīng)鏈在運行中可能存在漏洞和問題,或者在供應(yīng)鏈的任何一點被攻擊者利用。當他們使用外部合作伙伴(例如供應(yīng)商)擁有或使用的應(yīng)用程序和服務(wù)破壞企業(yè)網(wǎng)絡(luò)時,就會發(fā)生對于供應(yīng)鏈所發(fā)動的網(wǎng)絡(luò)攻擊。在攻擊中,攻擊者會將供應(yīng)鏈作為攻擊對象,先攻擊供應(yīng)鏈中安全防護相對薄弱的企業(yè),然后再利用供應(yīng)鏈之間的相互連接等,將風險擴大至上下游企業(yè),產(chǎn)生攻擊漣漪效應(yīng)和巨大的破壞性。脆弱的供應(yīng)鏈可能會造成系統(tǒng)業(yè)務(wù)損害和中斷,如制造企業(yè)可能會因為其中一個供應(yīng)商受到軟件攻擊而導(dǎo)致關(guān)鍵制造組件的供應(yīng)中斷。但是,很多企業(yè)長期以來只關(guān)注自身內(nèi)部供應(yīng)鏈的防護,而忽略了供應(yīng)商外部供應(yīng)鏈的安全狀況,導(dǎo)致未經(jīng)過嚴格安全認證與審核的訪問進入企業(yè),帶來巨大風險。企業(yè)制定有關(guān)供應(yīng)鏈網(wǎng)絡(luò)安全威脅的政策勢在必行。
圖片:來源于網(wǎng)絡(luò)
為了降低供應(yīng)鏈的網(wǎng)絡(luò)風險,企業(yè)及供應(yīng)鏈部門要建立專門的組織和設(shè)立專職的崗位來關(guān)注網(wǎng)絡(luò)安全問題。組織不但要關(guān)注企業(yè)內(nèi)部,也要放眼企業(yè)外部的服務(wù)商和供應(yīng)商。組織要建立專門的流程來梳理每一個軟件、每一個環(huán)節(jié)、每一個部門和每一個供應(yīng)商是否存在網(wǎng)絡(luò)安全問題,并提出相應(yīng)的防范措施。這個流程應(yīng)該與物流FMEA相結(jié)合,可以作為FMEA的一部分。
為了降低供應(yīng)鏈的網(wǎng)絡(luò)風險,企業(yè)在選擇軟件供應(yīng)商和服務(wù)商開始,從可信賴的供應(yīng)商處進行采購,要了解和審核他們的背景,評審他們在網(wǎng)絡(luò)安全上所提供的防范措施是否有效。是否在今后運營中能夠不斷更新軟件,提高防范等級,而且將網(wǎng)絡(luò)安全的內(nèi)容寫進《采購合同》中去,確保網(wǎng)絡(luò)運營在初始階段就得到安全保障。
為了降低供應(yīng)鏈的網(wǎng)絡(luò)風險,企業(yè)需查看第三方供應(yīng)商和服務(wù)商的背景和資質(zhì),確保對方可靠后才允許其訪問。應(yīng)落實完備的第三方風險管理計劃,通過最小特權(quán)原則限制第三方訪問,確保第三方在相關(guān)工作完成后系統(tǒng)權(quán)限被終止。企業(yè)在使用外部網(wǎng)絡(luò)時,必須使用旨在檢測意外行為、發(fā)現(xiàn)惡意代碼并拒絕訪問潛在威脅的工具來控制第三方連接,進而具備在需要時將關(guān)鍵設(shè)備與外部網(wǎng)絡(luò)斷開連接的能力。
為了降低供應(yīng)鏈的網(wǎng)絡(luò)風險,企業(yè)必須加強員工的網(wǎng)絡(luò)安全防范意識。嚴格培訓(xùn)員工的供應(yīng)鏈安全意識,以及制定嚴格的安全規(guī)范,建立可信的辦公環(huán)境,如采購安全可信的辦公應(yīng)用工具等等,確保員工隨時隨地辦公(即使在家辦公)的安全性。要培訓(xùn)用戶供應(yīng)商應(yīng)對威脅和采取保護措施的能力,一旦發(fā)現(xiàn)有供應(yīng)鏈上有問題。立刻實施預(yù)定的保障方案,把事故限定在最小范圍內(nèi)。
在數(shù)字化應(yīng)用覆蓋企業(yè)方方面面的今天,人為因素構(gòu)成的威脅也進一步放大。新的時代下,網(wǎng)絡(luò)安全技術(shù)防御體系依然十分關(guān)鍵。但良好的防護能力中,起關(guān)鍵性作用的仍然是有效的安全管理體系。
由于這是一條新增的否決項內(nèi)容,審核員會仔細查看文件,具體了解企業(yè)的防范措施和操作方法。慎重評估企業(yè)的流程和操作是否符合條款的要求。供應(yīng)鏈部門的負責人要與企業(yè)專業(yè)人員合作,共同準備好審核所需資料。