美國網(wǎng)絡安全和基礎(chǔ)設施安全局 （CISA） 日前發(fā)布了新指南，供政府和私人組織在尋求將服務外包給托管服務提供商 （MSP） 時加以考慮。為了幫助組織做出信息技術(shù)（IT）服務決策，國土安全部（DHS）下屬網(wǎng)絡安全和基礎(chǔ)設施安全局（CISA）的國家風險管理中心（NRMC）為被管理服務提供商客戶開發(fā)了一套風險考慮。該框架匯編來自CISA、IT和通信行業(yè)合作伙伴的信息，為組織提供資源，以便在確定滿足其獨特需求的最佳解決方案時做出風險決策。

　　CISA發(fā)布的新指南名為“托管服務提供商客戶的風險注意事項”，針對三個決策群體：高級管理人員和董事會、采購專業(yè)人員、網(wǎng)絡/系統(tǒng)管理員和一線網(wǎng)絡安全人員。

　　該文檔包括來自各種權(quán)威機構(gòu)（例如美國國家標準與技術(shù)研究院 （NIST））的最佳實踐和注意事項，供組織審查其安全實踐并確保他們準備好防止網(wǎng)絡攻擊。

　　CISA 解釋說，高管有其風險管理職責，并應保持對其組織內(nèi)使用的系統(tǒng)和技術(shù)的認識。他們還應該了解與系統(tǒng)、數(shù)據(jù)、生產(chǎn)力和客戶信心損失相關(guān)的風險，以及與罰款和監(jiān)管成本相關(guān)的成本。

　　高管以及參與采購的員工應針對企業(yè)風險分析外包的好處，并應確保在出現(xiàn)可能影響運營和影響客戶的故障或事故時，客戶和供應商共同承擔責任。

　　“為了最大限度地減少外包 IT 服務時的此類中斷，組織可以使用責任共擔模型在供應商協(xié)議中定義角色和責任，該模型闡明了供應商的責任、客戶的責任以及雙方共同承擔的任何責任，”CISA的指南中指出。

　　組織應制定企業(yè)網(wǎng)絡安全風險管理計劃，以考慮與使用 MSP 提供的 IT 服務相關(guān)的潛在風險。可能無法實施此類計劃的中小型企業(yè) （SMB） 仍應對關(guān)鍵資產(chǎn)進行分類并評估這些資產(chǎn)的風險，并優(yōu)先考慮將其納入供應商協(xié)議并針對影響它們的事件制定應急計劃。

　　CISA 說，需求管理流程應該跨職能領(lǐng)域進行協(xié)調(diào)，以確保性能、可靠性和安全性。CISA 指出，擔任采購角色的個人應創(chuàng)建并維護一份要求清單，其中應包括“對安全性、運營連續(xù)性和其他核心業(yè)務功能的考慮”。組織應根據(jù)這些要求審查潛在的MSP。

　　該機構(gòu)還建議組織在簽署協(xié)議之前向MSP提出具體要求，其中包括確認簽署MSP的個人負責服務的安全、事件管理和補救能力的詳細信息，并解釋不同客戶的數(shù)據(jù)在MSP網(wǎng)絡上是如何分離的。

　　負責監(jiān)控和管理MSP活動的員工應制定任何第三方供應商享有的訪問級別策略，并鼓勵組織不斷重新評估訪問要求。在可能的情況下，應在簽訂合同之前定義特權(quán)和訪問級別，以確保供應商能夠滿足服務要求。對網(wǎng)絡管理員、系統(tǒng)管理員和網(wǎng)絡防御者的建議中，特別強調(diào)了組織的網(wǎng)絡要運用零信任模型的原則。

　　此外，建議組織維護重要記錄和網(wǎng)絡日志的異地備份，以幫助在MSP發(fā)生事故時進行恢復并驗證供應商活動。根據(jù) NIST 的建議，企業(yè)應在其事件響應計劃中包括MSP等供應商，并應定期更新這些計劃。

　　“NIST 還建議組織和供應商為漏洞披露、事件通知以及在事件期間與任何外部利益相關(guān)者的溝通建立明確的協(xié)議。組織和供應商還應為客戶網(wǎng)絡上的威脅搜尋和事件響應程序建立明確的授權(quán)協(xié)議，”CISA 指出。

　　將IT服務外包給MSP的SMB，尋求提高效率和節(jié)省成本，應保持對其系統(tǒng)訪問的完全控制，應了解供應商訪問，并應保留網(wǎng)絡日志以及所有關(guān)鍵數(shù)據(jù)的異地備份，指南中強調(diào)。