上次我們在《網絡安全之供應鏈安全（一）》談到了了解風險，今天我們探討第二部分“建立控制”。

　　二、建立控制

　　本文的原則將幫助組織獲得并保持對供應鏈的控制。一旦組織能夠更好地控制自己供應鏈，將能夠分析它的戰略風險。例如：

　　確定任何持續未能滿足安全和性能期望的供應商。

　　確定關鍵資產和任何對單一供應商的過度依賴，將幫助組織在規劃中建立選擇多樣性和冗余。

　　4. 向供應商傳達組織對安全需求的看法

　　確保組織的供應商了解他們為組織合同信息和合同產品和服務提供適當保護的責任以及未能這樣做的影響。

　　確保供應商遵守他們的安全責任，并在他們允許的任何子合同中包含任何相關的安全要求。應該決定是否允許供應商適當地分包和授權。

　　為供應商提供關于此類決定所用標準的明確指導（例如，他們可以讓組織幾乎/無追索權的類型合同，以及必須始終尋求事先批準和簽字的合同類型）。

　　5. 為供應商設定和傳達最低安全要求

　　應該為供應商設定合理、相稱和可實現的最低安全要求。確保這些要求反映組織對安全風險的評估，但也要考慮到供應商安全安排的成熟度及其交付設定的要求的能力。

　　確定期望供應商滿足最低安全要求不成比例的情況也可能是明智的。例如，這可能僅與那些只需要臨時或偶爾訪問有限和特定數據和/或訪問場所的供應商相關。

　　應該記錄這些注意事項，并就打算采取哪些步驟來管理這些活動提供指導。這種方法可以幫助減少組織的工作量并避免為這些方創建額外的、不必要的工作。

　　個案分享

　　考慮根據與合同相關的風險為不同類型的合同設置不同的保護要求 ， 避免在可能不相稱或不合理的情況下強迫所有供應商提供相同的安全要求集的情況。向供應商解釋這些要求的基本原理，以便他們了解對其要求。

　　在與供應商簽訂的合同中包括組織的最低安全要求，要求供應商將這些要求傳遞給他們可能擁有的任何分包商。

　　四個案例研究——設定最低標準

　　根據對供應鏈環境中安全風險的看法和理解，可以設置什么是最低安全要求？

　　最低安全要求會因情況而異。為了幫助闡明組織將如何設置最低要求，我們提供了四個案例研究來說明可以采取的不同方法。

　　這些要求不一定是累積的，但是可以為解決一個用例而實施的措施重新適用于其他用例。案例研究介紹不同的保證方法，可用于增強對一系列不同風險管理的信心。

　　保護與供應商共享的信息

　　必須保護組織與供應商共享的信息免遭任何未經授權的訪問、修改或刪除，可能會導致組織及其業務中斷。

　　例子

　　一家 IT 承包商出售了從一家航空公司竊取的計算機，其中包含用于償還債務的商業和軍事飛行計劃的詳細信息。

　　供應商的遺留應用程序尚未完全修補，但托管了來自客戶的一些敏感信息。

　　應該：

　　考慮要求供應商使用 Cyber Essentials 作為保護的基準級別?？梢燥@著減少最常見的基于互聯網的威脅（黑客和網絡釣魚）的漏洞。政府的所有供應商都必須證明他們將如何實現其技術控制。在這種程度的承諾不現實的情況下，小型企業網絡安全指南可能會為供應商提供一種更可行的方法來開始提高其彈性。

　　在需要更大的保證并且組織希望供應商能夠自信地識別其系統上存在任何潛在攻擊者的情況下，要求供應商了解他們的系統、實施安全監控并開發事件響應能力。

　　為了防范更廣泛的攻擊，要求供應商按照網絡安全 10 步驟、ISO27001（或類似標準）實施整體安全方法 。

　　在適當的情況下，需要人員、物理和程序控制以防止欺詐、盜竊和內部威脅。 應按照內閣辦公室基準保護安全標準 （BPSS） 概述的原則對所有從事合同工作的員工進行篩選，并根據角色需要添加額外的檢查（例如財務檢查）。

　　要求實施 ICO 指南以保護和離岸個人信息，其中個人信息作為合同的一部分進行存儲、處理或處理。

　　當供應商使用基于云的服務時，應該明白不可能將保護信息的全部責任或義務轉移給該服務的提供者。在任何情況下都是如此。保護信息、系統和服務的安全要求應反映在與供應商簽訂的合同和服務協議中，并應告知他們對如何部署和交付云服務做出的選擇。對于 HMG，  G-Cloud 數字市場提供了一系列可滿足組織需求的服務產品。至少，建議供應商遵循相應的云安全原則來確定其安全需求。

　　如果信息保存在通用數據環境中，無論這是否基于云，建議使用 CPNI 網站https://www.cpni.gov.uk/上提供的“通用數據環境指南”進行審查 數字建造資產和環境。（注：本文節選自英國國家網絡安全中心官網，故出現英國對應網站）

　　向供應商指定安全要求

　　必須確保已向供應商有效指定保護產品或服務所需的安全屬性或要求。

　　例子

　　供應商正在為組織構建一項數字服務，用于處理非常敏感的信息。組織對自身的安全需求描述得很差，因此供應商提供的東西沒有提供組織需要的安全性。

　　需要絕對清楚自身的安全和功能需求，必須清楚明確地向供應商描述。如果供應商正在交付 IT 系統 ，必須滿足已指定的安全要求。例如，Cyber Essentials（英國的網絡安全要略） 或組織設置的任何其他需求。

　　此外，應該考慮：

　　請注意 Cyber Essentials 等計劃覆蓋范圍內的任何已知差距。

　　需要額外的控制來為要交付的產品或服務提供保證。例如，如果合同涉及新軟件工具的開發或組件的制造，將需要指定供應商在這些領域遵循最佳實踐。

　　在供應鏈使用協作數字工程系統交付項目或資產/設施管理的情況下，此類緩解方法將無效，可在…處獲得進一步指導。

　　在交付云服務時，應該遵循上面用例中詳述的指南。

　　將供應商的系統連接到組織系統

　　必須確保與第三方的任何網絡連接或數據共享不會引入可能影響組織業務系統安全的非托管漏洞。

　　這是所有包括與供應商系統連接的合同的關鍵考慮因素。將需要決定供應商要如何以組織的名義執行工作。他們會在組織的場所工作還是在他們的場所工作？他們需要多少訪問和連接來執行此操作？

　　例子

　　網絡犯罪分子利用未受保護的供應商連接攻擊了一家大型商業公司，這些連接用于管理客戶的環境控制系統，導致數據嚴重丟失、業務中斷以及公司聲譽嚴重受損。

　　當供應商的系統連接到組織系統時，應該：

　　確保對系統、服務、信息和場所的訪問受到限制、控制和監控。應定期審查這些訪問權限，并在不再需要時將其刪除。

　　如果打算讓供應商在組織的系統和場所執行合同工作，請確保將它們與網絡的其余部分適當隔離。 網絡安全的 10 個步驟，網絡安全向展示如何做到這一點。

　　對合同相關信息、合同產品或服務的訪問應在“最低權限”的基礎上進行限制。

　　有一種安全的方式與供應商交換硬拷貝和軟拷貝信息。無論是硬拷貝還是軟拷貝，都需要遵循一定的安全指南。

　　當組織將運營技術用作系統的一部分或提供服務時，與其他技術一樣，應該被視為“不受信任”，并進行相應的管理。

　　國家安全 - 國家行為者可能針對組織

　　必須確信自己供應鏈安全可以應對國家行為者的攻擊和企圖顛覆，僅限于組織的威脅模型保證的情況。

　　例子

　　一名與國防公司簽約的保安人員偷竊并試圖將詳細描述用于保護英國和北約船只的電子戰系統的文件出售給外國情報機構。 這點，我們國家每年都會曝光出多個間諜事件，其實在此我們可以理解它山之石可以攻玉，借鑒過來思考我們周圍的網絡安全即可。

　　在此類國家安全案件中，英國需要向 NCSC 和 CPNI 尋求專業建議，而我們則需要尋求網信辦和公安、國安部門的專業建議。

　　事項可能包括：

　　采用定制的安全方法。

　　使用高保證產品，并改進人員和物理安全安排。

　　制造或構建過程中可能出現的漏洞。

　　保護簽約合作伙伴及其采購活動的隱私和身份的其他措施。

　　6. 將安全考慮納入合同流程，同時要求供應商遵循這一原則

　　將安全考慮納入正常簽約流程，幫助組織管理整個合同的安全性，包括終止和將服務轉移給另一個供應商。

　　證據

　　要求潛在供應商提供證據，證明他們的安全方法以及他們滿足在合同競爭的不同階段設定的最低安全要求的能力 。

　　提供支持

　　制定適當的支持指南、工具和流程，以便和供應商在各個層面有效管理供應鏈。

　　應該：

　　確保在合同中加入的安全考慮是相稱的，并與合同過程的各個階段保持一致。

　　要求在合同中采用它們，并對所有各方進行使用培訓。

　　檢查支持指南、工具和流程是否在整個供應鏈中得到使用。

　　要求以適當的時間間隔續簽合同，同時要求重新評估相關風險。

　　確保供應商理解并支持組織的提出的安全方法，并且只要求他們采取行動或提供支持供應鏈安全風險管理所需的信息。

　　確保合同明確規定了供應商在終止或轉讓合同時返還和刪除組織的信息和資產的具體要求。

　　7. 履行作為供應商和消費者的安全責任

　　確保執行并滿足對作為供應商的任何要求。提供向上報告并將安全要求傳遞給分包商。

　　歡迎客戶可能進行的任何審計干預，告訴他們組織遇到的任何問題，并主動與他們合作以進行改進。

　　如果未提供涵蓋客戶安全需求的指導，請向客戶提出挑戰，并確保他們對組織所采取的措施感到滿意。

　　8. 提高供應鏈內的安全意識

　　使用他們可以理解的語言向供應商解釋安全風險。鼓勵他們確保關鍵員工（例如采購、安全、營銷）接受培訓并了解這些風險，以及他們幫助管理這些風險的責任。

　　設立目標

　　為適當的員工建立供應鏈安全意識和教育。 NCSC 和 CPNI 意識材料可能有用。

　　信息共享

　　促進和采用跨供應鏈的安全信息共享，以便更好地了解和預測新出現的安全攻擊。在網絡安全信息共享合作伙伴 （CISP）是一個免費的網絡安全信息共享服務的一個很好的例子。

　　9. 為安全事件提供支持

　　雖然我們期望供應商按照合同要求管理安全風險是合理的，但還是應該準備在必要時提供支持和幫助，以防安全事件有可能影響組織業務或更廣泛的供應鏈。

　　明確要求

　　應該在合同中明確規定管理和報告安全事件的要求。這些應該澄清供應商就此類事件向組織提供建議的責任（報告時間表、向誰報告等） 。供應商還應該清楚如果發生事件，他們可以從組織那里得到什么支持， 所需的“清理”行動、發生的損失等。

　　在歐洲，GDPR 包括將任何事件告知信息專員的相當短的時間表，因此組織和供應鏈需要為此做好準備。 在我國有關事件上報，在法律法規中也有明確，在此方面需要認證執行。

　　經驗教訓

　　如果從安全事件中吸取了教訓，請將這些教訓傳達給所有供應商，以幫助他們成為“已知且可管理”攻擊的受害者。