信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

隨著軟件供應(yīng)鏈攻擊的不斷加劇，如何進(jìn)一步加強(qiáng)第三方風(fēng)險(xiǎn)管理（TPRM）工作已經(jīng)成為現(xiàn)代企業(yè)領(lǐng)導(dǎo)者們關(guān)注的焦點(diǎn)。因?yàn)椋裉斓钠髽I(yè)組織大量依賴于第三方生態(tài)來共同構(gòu)建產(chǎn)品，并完成對(duì)用戶的服務(wù)交付，因此創(chuàng)建一個(gè)有效的TPRM計(jì)劃對(duì)于組織評(píng)估潛在的安全風(fēng)險(xiǎn)，管理不斷增長(zhǎng)的數(shù)字攻擊面至關(guān)重要。

當(dāng)企業(yè)開始實(shí)施TPRM計(jì)劃時(shí)，面臨困難和挑戰(zhàn)是在所難免的，這取決于其第三方生態(tài)系統(tǒng)的規(guī)模、安全態(tài)勢(shì)以及組織的現(xiàn)有安全狀況。日前，安全研究人員總結(jié)了企業(yè)組織在實(shí)施TPRM計(jì)劃時(shí)將面臨的最常見挑戰(zhàn)：

●如何繪制有效地生態(tài)系統(tǒng)全景圖；

●如何開展供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)評(píng)級(jí)；

●如何為供應(yīng)商設(shè)置風(fēng)險(xiǎn)處置優(yōu)先級(jí)；

●如何開展供應(yīng)商安全問卷調(diào)查；

●如何增強(qiáng)對(duì)所有供應(yīng)商的安全可見性；

●如何實(shí)現(xiàn)可持續(xù)地風(fēng)險(xiǎn)監(jiān)控；

●如何構(gòu)建自動(dòng)化TPRM流程；

●如何創(chuàng)建高效的TPRM管理策略。

01

如何繪制有效地生態(tài)系統(tǒng)全景圖

企業(yè)在實(shí)施TPRM計(jì)劃時(shí)，面臨的第一個(gè)挑戰(zhàn)就是如何創(chuàng)建其供應(yīng)商生態(tài)系統(tǒng)的完整視圖。該視圖不僅應(yīng)包括組織當(dāng)前所有第三方供應(yīng)商的清單，還需要包括可能給組織帶來潛在風(fēng)險(xiǎn)的第四方服務(wù)商。當(dāng)組織無法有效地映射其供應(yīng)商時(shí)，生態(tài)系統(tǒng)中就會(huì)產(chǎn)生盲點(diǎn)，并導(dǎo)致組織混亂、缺乏風(fēng)險(xiǎn)可見性、未管理風(fēng)險(xiǎn)的增加以及供應(yīng)鏈攻擊的機(jī)會(huì)。

為了繪制完整的生態(tài)視圖，組織應(yīng)該在所有內(nèi)部部門之間共享供應(yīng)商信息，以有效地映射其整個(gè)第三方生態(tài)系統(tǒng)。組織還可以通過識(shí)別在第三方關(guān)系（會(huì)計(jì)、法律、運(yùn)營(yíng)等）中活躍的人員，專門評(píng)估每個(gè)人所涉及的重要供應(yīng)商信息（支出報(bào)告、合同、訂單等），并統(tǒng)一協(xié)調(diào)供應(yīng)商信息。在繪制生態(tài)系統(tǒng)視圖的同時(shí)，組織還應(yīng)該同步設(shè)置入駐程序，以便將來添加新的供應(yīng)商。

02

如何開展供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)評(píng)級(jí)

TPRM計(jì)劃實(shí)施的另一個(gè)常見挑戰(zhàn)是確定哪些風(fēng)險(xiǎn)評(píng)估措施是審核供應(yīng)商風(fēng)險(xiǎn)概況時(shí)所必需的。而在執(zhí)行盡職調(diào)查時(shí)，組織又需要根據(jù)哪些因素（包括供應(yīng)商與敏感數(shù)據(jù)的接近程度、運(yùn)營(yíng)重要性等）對(duì)供應(yīng)商進(jìn)行風(fēng)險(xiǎn)級(jí)別評(píng)價(jià)？

風(fēng)險(xiǎn)評(píng)級(jí)可以幫助組織管理和準(zhǔn)確評(píng)估供應(yīng)商可能帶給組織的潛在風(fēng)險(xiǎn)程度。如果不能有效將風(fēng)險(xiǎn)分級(jí)納入到供應(yīng)商盡職調(diào)查計(jì)劃，企業(yè)將難以確定與該供應(yīng)商開展業(yè)務(wù)合作是否安全。為了做好供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)評(píng)級(jí)，組織應(yīng)該利用成熟的第三方供應(yīng)商管理工具來協(xié)助完成供應(yīng)商風(fēng)險(xiǎn)水平的評(píng)測(cè)。

03

如何為供應(yīng)商設(shè)置風(fēng)險(xiǎn)處置優(yōu)先級(jí)

在執(zhí)行完供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)分級(jí)之后，組織還需要決定將哪些供應(yīng)商列為優(yōu)先進(jìn)行風(fēng)險(xiǎn)處置和事件響應(yīng)。通常，對(duì)企業(yè)業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要的供應(yīng)商可能會(huì)獲得最高級(jí)別的風(fēng)險(xiǎn)處置關(guān)注。

一個(gè)完善的供應(yīng)商風(fēng)險(xiǎn)管理系統(tǒng)應(yīng)該允許組織主動(dòng)發(fā)現(xiàn)第三方安全風(fēng)險(xiǎn)，按嚴(yán)重程度對(duì)安全風(fēng)險(xiǎn)進(jìn)行排序，并要求供應(yīng)商及時(shí)糾正錯(cuò)誤。對(duì)于高風(fēng)險(xiǎn)供應(yīng)商，可能需要更嚴(yán)格的第三方風(fēng)險(xiǎn)管理策略。對(duì)于最高風(fēng)險(xiǎn)級(jí)別的供應(yīng)商，可能需要遠(yuǎn)程或現(xiàn)場(chǎng)審計(jì)以確保信息安全。相比之下，低風(fēng)險(xiǎn)的供應(yīng)商通常只需要例行合規(guī)性檢查即可。

04

如何開展供應(yīng)商安全問卷調(diào)查

各種類型的供應(yīng)商風(fēng)險(xiǎn)評(píng)估方法（審計(jì)、滲透測(cè)試和問卷調(diào)查）都有其優(yōu)點(diǎn)和缺點(diǎn)?，F(xiàn)場(chǎng)審計(jì)和滲透測(cè)試需要大量的資源，包括時(shí)間、金錢和專業(yè)人員。在這種情況下，大多數(shù)組織都會(huì)選擇自我評(píng)價(jià)風(fēng)險(xiǎn)的問卷調(diào)查方式，這也比較適用于中等及以下風(fēng)險(xiǎn)等級(jí)的供應(yīng)商。

當(dāng)企業(yè)組織在整個(gè)供應(yīng)鏈中分發(fā)安全調(diào)查問卷時(shí)，要確保每個(gè)供應(yīng)商都能夠認(rèn)真填寫問卷，并驗(yàn)證每個(gè)供應(yīng)商答案的有效性，這些都可能給組織帶來挑戰(zhàn)。為了應(yīng)對(duì)這一挑戰(zhàn)，組織應(yīng)該考慮將問卷調(diào)查工作外包給獨(dú)立的第三方結(jié)構(gòu)，這樣可以顯著提升問卷調(diào)查的有效性。

05

如何增強(qiáng)對(duì)所有供應(yīng)商的安全可見性

隨著數(shù)字化轉(zhuǎn)型發(fā)展的深入，企業(yè)的供應(yīng)商生態(tài)系統(tǒng)也在不斷增長(zhǎng)，其安全可見性將變得越來越難以維護(hù)。對(duì)于組織來說，需要將所有供應(yīng)商的安全可見性與保護(hù)數(shù)據(jù)隱私的合規(guī)要求結(jié)合起來，以確保所有供應(yīng)商都能符合行業(yè)性的安全標(biāo)準(zhǔn)。為了應(yīng)對(duì)這一挑戰(zhàn)，企業(yè)可以利用供應(yīng)商管理工具在一個(gè)集中位置監(jiān)視所有供應(yīng)商，并持續(xù)性分析整個(gè)供應(yīng)鏈中每個(gè)供應(yīng)商的合規(guī)狀態(tài)，及時(shí)發(fā)現(xiàn)其中的違規(guī)風(fēng)險(xiǎn)。

06

如何實(shí)現(xiàn)可持續(xù)地風(fēng)險(xiǎn)監(jiān)控

在第三方風(fēng)險(xiǎn)管理過程中，很多風(fēng)險(xiǎn)評(píng)估方法僅能夠評(píng)估當(dāng)前時(shí)刻供應(yīng)商的風(fēng)險(xiǎn)態(tài)勢(shì)。但是，隨著業(yè)務(wù)的推進(jìn)發(fā)展，以及供應(yīng)商的安全態(tài)勢(shì)不斷變化，這可能會(huì)使組織無法及時(shí)識(shí)別出很多動(dòng)態(tài)產(chǎn)生的第三方安全風(fēng)險(xiǎn)。

為了獲取到最新的風(fēng)險(xiǎn)視圖，組織應(yīng)該在其TPRM計(jì)劃中實(shí)現(xiàn)連續(xù)的風(fēng)險(xiǎn)監(jiān)控。持續(xù)監(jiān)控可組織帶來如下好處：

●顯著提高第三方安全事件響應(yīng)指標(biāo)；

●提高整個(gè)供應(yīng)商生態(tài)系統(tǒng)的持續(xù)可見性；

●消除問卷周期之間可能出現(xiàn)的安全盲點(diǎn)；

●提供實(shí)時(shí)的安全狀態(tài)更新。

07

如何構(gòu)建自動(dòng)化TPRM流程

隨著企業(yè)規(guī)模的擴(kuò)大和第三方合作伙伴數(shù)量的增加，其TPRM計(jì)劃的維護(hù)將變得更具挑戰(zhàn)性。實(shí)現(xiàn)自動(dòng)化是企業(yè)加強(qiáng)其TPRM計(jì)劃的最佳方式。通過自動(dòng)化流程，企業(yè)可以將其TPRM工作標(biāo)準(zhǔn)化，減少風(fēng)險(xiǎn)管理中的錯(cuò)誤和疏漏。一些先進(jìn)的自動(dòng)化TPRM工具還配備了風(fēng)險(xiǎn)審計(jì)工具，可以確保部署的風(fēng)險(xiǎn)控制措施安全有效。

08

如何創(chuàng)建高效的TPRM管理策略

在TPRM實(shí)施過程中，企業(yè)將面臨的最困難的挑戰(zhàn)就是如何將風(fēng)險(xiǎn)管理的各個(gè)環(huán)節(jié)融合在一起，形成一個(gè)全面、高效的第三方供應(yīng)商風(fēng)險(xiǎn)管理體系。大量應(yīng)用實(shí)踐表明，一個(gè)完整的TPRM管理策略應(yīng)包括以下關(guān)鍵元素：

●供應(yīng)商合規(guī)標(biāo)準(zhǔn)；

●供應(yīng)商在數(shù)據(jù)泄露事件中的責(zé)任；

●可接受的供應(yīng)商安全態(tài)勢(shì)和安全等級(jí)控制；

●發(fā)生第三方數(shù)據(jù)泄露或安全事件時(shí)的響應(yīng)計(jì)劃；

●組織對(duì)戰(zhàn)略風(fēng)險(xiǎn)和其他TPRM原則的態(tài)度；

●高級(jí)管理層的監(jiān)督管理制度。