發(fā)布日期:2023-02-08瀏覽次數(shù): 次信息來源: 天睿咨詢-顏家平
MMOGV5版中2.5.1.2 F3:組織應制定有關供應鏈網(wǎng)絡安全威脅的政策。為減少風險而開展的典型供應鏈網(wǎng)絡安全活動,包括從可信賴的供應商處采購的活動,在需要時將關鍵設備與外部網(wǎng)絡斷開連接的能力,以及培訓用戶應對威脅和采取保護措施的能力等。
當今供應鏈是建立在數(shù)字連接的網(wǎng)絡之上,頻繁的交互都可能遭到黑客或者別有用心的人的攻擊。即使由于各種原因引起的中斷,后果也是非常嚴重的。針對當前供應鏈網(wǎng)絡安全重要性日益凸顯的情況,MMOG編寫者對企業(yè)和供應商提出了網(wǎng)絡風險評估和應對條款。
圖片:來源于網(wǎng)絡
企業(yè)與供應鏈部門首先要充分關注供應鏈網(wǎng)絡安全,因為供應鏈在運行中可能存在漏洞和問題,或者在供應鏈的任何一點被攻擊者利用。當他們使用外部合作伙伴(例如供應商)擁有或使用的應用程序和服務破壞企業(yè)網(wǎng)絡時,就會發(fā)生對于供應鏈所發(fā)動的網(wǎng)絡攻擊。在攻擊中,攻擊者會將供應鏈作為攻擊對象,先攻擊供應鏈中安全防護相對薄弱的企業(yè),然后再利用供應鏈之間的相互連接等,將風險擴大至上下游企業(yè),產(chǎn)生攻擊漣漪效應和巨大的破壞性。脆弱的供應鏈可能會造成系統(tǒng)業(yè)務損害和中斷,如制造企業(yè)可能會因為其中一個供應商受到軟件攻擊而導致關鍵制造組件的供應中斷。但是,很多企業(yè)長期以來只關注自身內(nèi)部供應鏈的防護,而忽略了供應商外部供應鏈的安全狀況,導致未經(jīng)過嚴格安全認證與審核的訪問進入企業(yè),帶來巨大風險。企業(yè)制定有關供應鏈網(wǎng)絡安全威脅的政策勢在必行。
圖片:來源于網(wǎng)絡
為了降低供應鏈的網(wǎng)絡風險,企業(yè)及供應鏈部門要建立專門的組織和設立專職的崗位來關注網(wǎng)絡安全問題。組織不但要關注企業(yè)內(nèi)部,也要放眼企業(yè)外部的服務商和供應商。組織要建立專門的流程來梳理每一個軟件、每一個環(huán)節(jié)、每一個部門和每一個供應商是否存在網(wǎng)絡安全問題,并提出相應的防范措施。這個流程應該與物流FMEA相結合,可以作為FMEA的一部分。
為了降低供應鏈的網(wǎng)絡風險,企業(yè)在選擇軟件供應商和服務商開始,從可信賴的供應商處進行采購,要了解和審核他們的背景,評審他們在網(wǎng)絡安全上所提供的防范措施是否有效。是否在今后運營中能夠不斷更新軟件,提高防范等級,而且將網(wǎng)絡安全的內(nèi)容寫進《采購合同》中去,確保網(wǎng)絡運營在初始階段就得到安全保障。
為了降低供應鏈的網(wǎng)絡風險,企業(yè)需查看第三方供應商和服務商的背景和資質(zhì),確保對方可靠后才允許其訪問。應落實完備的第三方風險管理計劃,通過最小特權原則限制第三方訪問,確保第三方在相關工作完成后系統(tǒng)權限被終止。企業(yè)在使用外部網(wǎng)絡時,必須使用旨在檢測意外行為、發(fā)現(xiàn)惡意代碼并拒絕訪問潛在威脅的工具來控制第三方連接,進而具備在需要時將關鍵設備與外部網(wǎng)絡斷開連接的能力。
為了降低供應鏈的網(wǎng)絡風險,企業(yè)必須加強員工的網(wǎng)絡安全防范意識。嚴格培訓員工的供應鏈安全意識,以及制定嚴格的安全規(guī)范,建立可信的辦公環(huán)境,如采購安全可信的辦公應用工具等等,確保員工隨時隨地辦公(即使在家辦公)的安全性。要培訓用戶供應商應對威脅和采取保護措施的能力,一旦發(fā)現(xiàn)有供應鏈上有問題。立刻實施預定的保障方案,把事故限定在最小范圍內(nèi)。
在數(shù)字化應用覆蓋企業(yè)方方面面的今天,人為因素構成的威脅也進一步放大。新的時代下,網(wǎng)絡安全技術防御體系依然十分關鍵。但良好的防護能力中,起關鍵性作用的仍然是有效的安全管理體系。
由于這是一條新增的否決項內(nèi)容,審核員會仔細查看文件,具體了解企業(yè)的防范措施和操作方法。慎重評估企業(yè)的流程和操作是否符合條款的要求。供應鏈部門的負責人要與企業(yè)專業(yè)人員合作,共同準備好審核所需資料。