MMOGV5版中2.5.1.2 F3:組織應(yīng)制定有關(guān)供應(yīng)鏈網(wǎng)絡(luò)安全威脅的政策�����。為減少風(fēng)險(xiǎn)而開(kāi)展的典型供應(yīng)鏈網(wǎng)絡(luò)安全活動(dòng)����,包括從可信賴的供應(yīng)商處采購(gòu)的活動(dòng),在需要時(shí)將關(guān)鍵設(shè)備與外部網(wǎng)絡(luò)斷開(kāi)連接的能力�����,以及培訓(xùn)用戶應(yīng)對(duì)威脅和采取保護(hù)措施的能力等。
當(dāng)今供應(yīng)鏈?zhǔn)墙⒃跀?shù)字連接的網(wǎng)絡(luò)之上����,頻繁的交互都可能遭到黑客或者別有用心的人的攻擊。即使由于各種原因引起的中斷����,后果也是非常嚴(yán)重的。針對(duì)當(dāng)前供應(yīng)鏈網(wǎng)絡(luò)安全重要性日益凸顯的情況�����,MMOG編寫(xiě)者對(duì)企業(yè)和供應(yīng)商提出了網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)條款�����。
圖片:來(lái)源于網(wǎng)絡(luò)
企業(yè)與供應(yīng)鏈部門(mén)首先要充分關(guān)注供應(yīng)鏈網(wǎng)絡(luò)安全����,因?yàn)楣?yīng)鏈在運(yùn)行中可能存在漏洞和問(wèn)題�����,或者在供應(yīng)鏈的任何一點(diǎn)被攻擊者利用����。當(dāng)他們使用外部合作伙伴(例如供應(yīng)商)擁有或使用的應(yīng)用程序和服務(wù)破壞企業(yè)網(wǎng)絡(luò)時(shí)����,就會(huì)發(fā)生對(duì)于供應(yīng)鏈所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊�����。在攻擊中�����,攻擊者會(huì)將供應(yīng)鏈作為攻擊對(duì)象����,先攻擊供應(yīng)鏈中安全防護(hù)相對(duì)薄弱的企業(yè),然后再利用供應(yīng)鏈之間的相互連接等����,將風(fēng)險(xiǎn)擴(kuò)大至上下游企業(yè),產(chǎn)生攻擊漣漪效應(yīng)和巨大的破壞性�����。脆弱的供應(yīng)鏈可能會(huì)造成系統(tǒng)業(yè)務(wù)損害和中斷�����,如制造企業(yè)可能會(huì)因?yàn)槠渲幸粋€(gè)供應(yīng)商受到軟件攻擊而導(dǎo)致關(guān)鍵制造組件的供應(yīng)中斷。但是�����,很多企業(yè)長(zhǎng)期以來(lái)只關(guān)注自身內(nèi)部供應(yīng)鏈的防護(hù)����,而忽略了供應(yīng)商外部供應(yīng)鏈的安全狀況,導(dǎo)致未經(jīng)過(guò)嚴(yán)格安全認(rèn)證與審核的訪問(wèn)進(jìn)入企業(yè)����,帶來(lái)巨大風(fēng)險(xiǎn)�����。企業(yè)制定有關(guān)供應(yīng)鏈網(wǎng)絡(luò)安全威脅的政策勢(shì)在必行�����。
圖片:來(lái)源于網(wǎng)絡(luò)
為了降低供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn)����,企業(yè)及供應(yīng)鏈部門(mén)要建立專門(mén)的組織和設(shè)立專職的崗位來(lái)關(guān)注網(wǎng)絡(luò)安全問(wèn)題。組織不但要關(guān)注企業(yè)內(nèi)部����,也要放眼企業(yè)外部的服務(wù)商和供應(yīng)商。組織要建立專門(mén)的流程來(lái)梳理每一個(gè)軟件����、每一個(gè)環(huán)節(jié)、每一個(gè)部門(mén)和每一個(gè)供應(yīng)商是否存在網(wǎng)絡(luò)安全問(wèn)題�����,并提出相應(yīng)的防范措施�����。這個(gè)流程應(yīng)該與物流FMEA相結(jié)合����,可以作為FMEA的一部分。
為了降低供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn)�����,企業(yè)在選擇軟件供應(yīng)商和服務(wù)商開(kāi)始�����,從可信賴的供應(yīng)商處進(jìn)行采購(gòu),要了解和審核他們的背景����,評(píng)審他們?cè)诰W(wǎng)絡(luò)安全上所提供的防范措施是否有效。是否在今后運(yùn)營(yíng)中能夠不斷更新軟件����,提高防范等級(jí),而且將網(wǎng)絡(luò)安全的內(nèi)容寫(xiě)進(jìn)《采購(gòu)合同》中去����,確保網(wǎng)絡(luò)運(yùn)營(yíng)在初始階段就得到安全保障。
為了降低供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn)�����,企業(yè)需查看第三方供應(yīng)商和服務(wù)商的背景和資質(zhì)�����,確保對(duì)方可靠后才允許其訪問(wèn)����。應(yīng)落實(shí)完備的第三方風(fēng)險(xiǎn)管理計(jì)劃�����,通過(guò)最小特權(quán)原則限制第三方訪問(wèn),確保第三方在相關(guān)工作完成后系統(tǒng)權(quán)限被終止����。企業(yè)在使用外部網(wǎng)絡(luò)時(shí),必須使用旨在檢測(cè)意外行為�����、發(fā)現(xiàn)惡意代碼并拒絕訪問(wèn)潛在威脅的工具來(lái)控制第三方連接�����,進(jìn)而具備在需要時(shí)將關(guān)鍵設(shè)備與外部網(wǎng)絡(luò)斷開(kāi)連接的能力�����。
為了降低供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn)����,企業(yè)必須加強(qiáng)員工的網(wǎng)絡(luò)安全防范意識(shí)。嚴(yán)格培訓(xùn)員工的供應(yīng)鏈安全意識(shí)�����,以及制定嚴(yán)格的安全規(guī)范,建立可信的辦公環(huán)境�����,如采購(gòu)安全可信的辦公應(yīng)用工具等等����,確保員工隨時(shí)隨地辦公(即使在家辦公)的安全性。要培訓(xùn)用戶供應(yīng)商應(yīng)對(duì)威脅和采取保護(hù)措施的能力����,一旦發(fā)現(xiàn)有供應(yīng)鏈上有問(wèn)題。立刻實(shí)施預(yù)定的保障方案����,把事故限定在最小范圍內(nèi)。
在數(shù)字化應(yīng)用覆蓋企業(yè)方方面面的今天�����,人為因素構(gòu)成的威脅也進(jìn)一步放大����。新的時(shí)代下����,網(wǎng)絡(luò)安全技術(shù)防御體系依然十分關(guān)鍵����。但良好的防護(hù)能力中����,起關(guān)鍵性作用的仍然是有效的安全管理體系。
由于這是一條新增的否決項(xiàng)內(nèi)容����,審核員會(huì)仔細(xì)查看文件,具體了解企業(yè)的防范措施和操作方法�����。慎重評(píng)估企業(yè)的流程和操作是否符合條款的要求����。供應(yīng)鏈部門(mén)的負(fù)責(zé)人要與企業(yè)專業(yè)人員合作,共同準(zhǔn)備好審核所需資料�����。
