86-21-54190656

條款敲響了網(wǎng)絡(luò)風(fēng)險(xiǎn)的警鐘-MMOG/LE V5與V4變化之處解讀之【15】

發(fā)布日期:2023-02-08瀏覽次數(shù): 信息來源: 天睿咨詢-顏家平

MMOGV5版中2.5.1.2 F3:組織應(yīng)制定有關(guān)供應(yīng)鏈網(wǎng)絡(luò)安全威脅的政策。為減少風(fēng)險(xiǎn)而開展的典型供應(yīng)鏈網(wǎng)絡(luò)安全活動,包括從可信賴的供應(yīng)商處采購的活動,在需要時(shí)將關(guān)鍵設(shè)備與外部網(wǎng)絡(luò)斷開連接的能力,以及培訓(xùn)用戶應(yīng)對威脅和采取保護(hù)措施的能力等。

當(dāng)今供應(yīng)鏈?zhǔn)墙⒃跀?shù)字連接的網(wǎng)絡(luò)之上,頻繁的交互都可能遭到黑客或者別有用心的人的攻擊。即使由于各種原因引起的中斷,后果也是非常嚴(yán)重的。針對當(dāng)前供應(yīng)鏈網(wǎng)絡(luò)安全重要性日益凸顯的情況,MMOG編寫者對企業(yè)和供應(yīng)商提出了網(wǎng)絡(luò)風(fēng)險(xiǎn)評估和應(yīng)對條款。

圖片

圖片:來源于網(wǎng)絡(luò)

企業(yè)與供應(yīng)鏈部門首先要充分關(guān)注供應(yīng)鏈網(wǎng)絡(luò)安全,因?yàn)楣?yīng)鏈在運(yùn)行中可能存在漏洞和問題,或者在供應(yīng)鏈的任何一點(diǎn)被攻擊者利用。當(dāng)他們使用外部合作伙伴(例如供應(yīng)商)擁有或使用的應(yīng)用程序和服務(wù)破壞企業(yè)網(wǎng)絡(luò)時(shí),就會發(fā)生對于供應(yīng)鏈所發(fā)動的網(wǎng)絡(luò)攻擊。在攻擊中,攻擊者會將供應(yīng)鏈作為攻擊對象,先攻擊供應(yīng)鏈中安全防護(hù)相對薄弱的企業(yè),然后再利用供應(yīng)鏈之間的相互連接等,將風(fēng)險(xiǎn)擴(kuò)大至上下游企業(yè),產(chǎn)生攻擊漣漪效應(yīng)和巨大的破壞性。脆弱的供應(yīng)鏈可能會造成系統(tǒng)業(yè)務(wù)損害和中斷,如制造企業(yè)可能會因?yàn)槠渲幸粋€(gè)供應(yīng)商受到軟件攻擊而導(dǎo)致關(guān)鍵制造組件的供應(yīng)中斷。但是,很多企業(yè)長期以來只關(guān)注自身內(nèi)部供應(yīng)鏈的防護(hù),而忽略了供應(yīng)商外部供應(yīng)鏈的安全狀況,導(dǎo)致未經(jīng)過嚴(yán)格安全認(rèn)證與審核的訪問進(jìn)入企業(yè),帶來巨大風(fēng)險(xiǎn)。企業(yè)制定有關(guān)供應(yīng)鏈網(wǎng)絡(luò)安全威脅的政策勢在必行。

圖片

圖片:來源于網(wǎng)絡(luò)

為了降低供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn),企業(yè)及供應(yīng)鏈部門要建立專門的組織和設(shè)立專職的崗位來關(guān)注網(wǎng)絡(luò)安全問題。組織不但要關(guān)注企業(yè)內(nèi)部,也要放眼企業(yè)外部的服務(wù)商和供應(yīng)商。組織要建立專門的流程來梳理每一個(gè)軟件、每一個(gè)環(huán)節(jié)、每一個(gè)部門和每一個(gè)供應(yīng)商是否存在網(wǎng)絡(luò)安全問題,并提出相應(yīng)的防范措施。這個(gè)流程應(yīng)該與物流FMEA相結(jié)合,可以作為FMEA的一部分。

為了降低供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn),企業(yè)在選擇軟件供應(yīng)商和服務(wù)商開始,從可信賴的供應(yīng)商處進(jìn)行采購,要了解和審核他們的背景,評審他們在網(wǎng)絡(luò)安全上所提供的防范措施是否有效。是否在今后運(yùn)營中能夠不斷更新軟件,提高防范等級,而且將網(wǎng)絡(luò)安全的內(nèi)容寫進(jìn)《采購合同》中去,確保網(wǎng)絡(luò)運(yùn)營在初始階段就得到安全保障。

為了降低供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn),企業(yè)需查看第三方供應(yīng)商和服務(wù)商的背景和資質(zhì),確保對方可靠后才允許其訪問。應(yīng)落實(shí)完備的第三方風(fēng)險(xiǎn)管理計(jì)劃,通過最小特權(quán)原則限制第三方訪問,確保第三方在相關(guān)工作完成后系統(tǒng)權(quán)限被終止。企業(yè)在使用外部網(wǎng)絡(luò)時(shí),必須使用旨在檢測意外行為、發(fā)現(xiàn)惡意代碼并拒絕訪問潛在威脅的工具來控制第三方連接,進(jìn)而具備在需要時(shí)將關(guān)鍵設(shè)備與外部網(wǎng)絡(luò)斷開連接的能力。

為了降低供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn),企業(yè)必須加強(qiáng)員工的網(wǎng)絡(luò)安全防范意識。嚴(yán)格培訓(xùn)員工的供應(yīng)鏈安全意識,以及制定嚴(yán)格的安全規(guī)范,建立可信的辦公環(huán)境,如采購安全可信的辦公應(yīng)用工具等等,確保員工隨時(shí)隨地辦公(即使在家辦公)的安全性。要培訓(xùn)用戶供應(yīng)商應(yīng)對威脅和采取保護(hù)措施的能力,一旦發(fā)現(xiàn)有供應(yīng)鏈上有問題。立刻實(shí)施預(yù)定的保障方案,把事故限定在最小范圍內(nèi)。

在數(shù)字化應(yīng)用覆蓋企業(yè)方方面面的今天,人為因素構(gòu)成的威脅也進(jìn)一步放大。新的時(shí)代下,網(wǎng)絡(luò)安全技術(shù)防御體系依然十分關(guān)鍵。但良好的防護(hù)能力中,起關(guān)鍵性作用的仍然是有效的安全管理體系。

由于這是一條新增的否決項(xiàng)內(nèi)容,審核員會仔細(xì)查看文件,具體了解企業(yè)的防范措施和操作方法。慎重評估企業(yè)的流程和操作是否符合條款的要求。供應(yīng)鏈部門的負(fù)責(zé)人要與企業(yè)專業(yè)人員合作,共同準(zhǔn)備好審核所需資料。

關(guān)注我們 顧問熱線 電子郵箱 TOP