信息安全手册：采购和外包指南

文摘 2024-10-12 00:00 河南

网络供应链风险管理

网络供应链风险管理活动

网络供应链风险管理活动应在采购应用程序、信息技术 (IT) 设备、运营技术 (OT) 设备和服务的最早阶段开展。特别是，组织应考虑在设计、构建、存储、交付、安装、操作、维护和退役系统、软件和硬件时可能出现的安全风险。这包括识别和管理与使用供应商相关的司法、治理、隐私和安全风险，例如应用程序开发商、IT 设备制造商、OT 设备制造商、服务提供商和参与分销渠道的其他组织。例如，外包云服务可能位于海外，并在客户不知情的情况下受到合法和秘密的数据收集。此外，使用离岸服务会带来司法风险，因为外国的法律可能在几乎没有警告的情况下发生变化。最后，在澳大利亚运营的外资供应商可能会受到外国政府对其客户数据的合法访问。

在管理网络供应链风险时，组织应优先选择那些已展现出对其产品和服务的安全性和透明度的承诺的供应商（包括整个分销渠道）。此外，供应商应在维护自身系统和网络供应链的安全性方面拥有良好的记录。此外，在某些情况下，明确定义供应商及其客户责任的共享责任模式可能非常有益。

确定与系统相关的应用程序、IT 设备、OT 设备和服务的供应商。

对应用程序、IT 设备、OT 设备和服务的供应商进行供应链风险评估，以评估对系统安全风险状况的影响。

不使用被网络供应链风险评估确定为高风险的供应商。

应用程序、IT 设备、OT 设备和服务均从已证明对其产品和服务安全作出承诺的供应商中选择。

应用程序、IT 设备、OT 设备和服务均从已展示对其产品和服务透明度承诺的供应商中选择。

应用程序、IT 设备、OT 设备和服务均从在维护自身系统和网络供应链安全方面有着良好记录的供应商中选择。

在供应商和其客户之间创建、记录和共享共享责任模型，以阐明各方的安全责任。

供应商关系管理

制定、实施和维护供应商关系管理政策可以帮助组织识别、优先考虑和维持与那些已表现出对其产品和服务安全承诺的供应商的良好关系。在此过程中，应将这些供应商记录在核准供应商名单上。

制定、实施和维护供应商关系管理政策。

制定、实施和维护批准的供应商名单。

采购应用程序、IT 设备、OT 设备和服务

在采购应用程序、IT 设备、OT 设备和服务时，组织应使用值得信赖的供应商，这些供应商应作为网络供应链风险管理评估的一部分进行审查，并随后记录在其批准的供应商名单中。

此外，为了支持系统可用性，组织应努力确定关键应用程序、IT 设备、OT 设备和服务的多个潜在供应商。再加上保留足够的关键 IT 设备和 OT 设备备件，可以帮助减轻网络供应链中断的影响。

应用程序、IT 设备、OT 设备和服务均来自认可的供应商。

确定多个潜在供应商，以采购关键应用程序、IT 设备、OT 设备和服务。

采购并储备足够的关键 IT 设备和 OT 设备备件。

应用程序、IT 设备、OT 设备和服务的交付

作为应用程序、IT 设备、OT 设备和服务交付的一部分，应采取措施保护其完整性，并注意这些措施将根据交付涉及数字还是物理分发渠道而有所不同。例如，应用程序可能受益于通过加密通信渠道交付，而 IT 设备和 OT 设备可能受益于跟踪和防篡改包装。在这样做时，这些措施只有在作为产品和服务验收的一部分进行评估时才有益。在所有情况下，都应咨询供应商如何最好地确认其产品和服务的完整性。

确保应用程序、IT 设备、OT 设备和服务的完整性很重要，但确保其真实性也同样重要。例如，安全交付的假冒产品或服务仍然是假冒产品或服务，可能无法按预期运行或对系统安全构成风险。为了帮助识别假冒产品和服务，应咨询供应商如何最好地确认其产品和服务的真实性。

应用程序、IT 设备、OT 设备和服务以保持其完整性的方式交付。

应用程序、IT 设备、OT 设备和服务的完整性作为产品和服务验收的一部分进行评估。

应用程序、IT 设备、OT 设备和服务的真实性作为产品和服务验收的一部分进行评估。

有关网络供应链风险管理的更多信息，还可以参见：

加拿大网络安全中心的网络供应链：风险评估方法
新西兰国家网络安全中心的供应链网络安全：安全有保障
英国国家网络安全中心的供应链安全指南。

有关网络供应链风险管理的更多信息，还可以在美国网络安全和基础设施安全局的ICT供应链资源库中找到。

有关网络供应链完整性的更多信息，请参阅美国国家标准与技术研究所特别出版物 800-161 Rev. 1《系统和组织的网络安全供应链风险管理实践》。

有关外包产品和服务的更多信息，请参阅内政部的保护性安全政策框架、合同货物和服务提供商的安全管理政策。

关于采购和使用已评估应用程序和 IT 设备的更多信息，请参阅《已评估产品指南》中的评估产品采购和评估产品使用部分。

托管服务和云服务

托管服务

托管服务提供商代表组织管理其服务。这可能包括应用服务、身份验证服务、备份服务、桌面服务、企业移动服务、网关服务、托管服务、网络服务、采购服务、安全服务、支持服务以及许多其他与业务相关的服务。在此过程中，托管服务提供商可以从其客户场所或自己的场所管理服务。在考虑与托管服务相关的安全风险时，组织应考虑所有有权访问其设施、系统或数据的托管服务提供商。

托管服务注册表会定期开发、实施、维护和验证。

托管服务注册表包含每个托管服务的以下内容：

托管服务提供商的名称
托管服务的名称
使用托管服务的目的
所涉及数据的敏感度或分类
托管服务下次安全评估的截止日期
管理服务的合同安排
托管服务用户的联系点
托管服务提供商的全天候联系方式。

托管服务提供商的评估

托管服务提供商需要接受信息安全注册评估员计划 (IRAP) 评估员的定期安全评估，以确定其安全状况和使用过程中的安全风险。在 IRAP 评估员进行初步安全评估后，后续安全评估应重点关注所提供的任何新服务以及自上次安全评估以来发生的任何与安全相关的变化。

托管服务提供商及其托管服务至少每 24 个月接受一次 IRAP 评估员的安全评估。

外包云服务

外包是提供云服务的一种经济有效的选择，而且可能提供更优质的服务。但是，外包会影响组织的安全风险状况。最终，组织仍需要决定某项外包云服务是否具有可接受的安全风险，并在适当的情况下授权其自行使用。

外包云服务注册表会定期开发、实施、维护和验证。

外包云服务登记册包含每个外包云服务的以下内容：

云服务提供商的名称
云服务的名称
使用云服务的目的
所涉及数据的敏感度或分类
下次云服务安全评估的截止日期
云服务的合同安排
云服务用户的联系点
云服务提供商的 24/7 联系方式。

仅使用社区或私有云来提供外包的 SECRET 和 TOP SECRET 云服务。

外包云服务提供商的评估

外包云服务提供商及其云服务需要接受 IRAP 评估员的定期安全评估，以确定其安全状况和使用过程中的安全风险。在 IRAP 评估员进行初步安全评估后，后续安全评估应重点关注所提供的任何新云服务以及自上次安全评估以来发生的任何与安全相关的变化。

外包云服务提供商及其云服务至少每 24 个月接受一次 IRAP 评估员的安全评估。

与服务提供商签订的合同安全要求

使用托管服务或云服务时的数据保护义务与使用内部服务时没有区别。因此，与服务提供商签订的合同安排应解决在合同安排期间以及在合同安排完成或终止后如何保护委托给他们（包括其任何分包商）的数据。但是，在某些情况下，组织可能要求在服务提供商实施所有安全要求之前使用托管服务或云服务。在这种情况下，与服务提供商签订的合同安排应包括实施安全要求的适当时间表以及未实现这些要求时的中断条款。

此外，尽管数据所有权属于服务提供商的客户，但在某些情况下，这一点可能会变得不那么明确，例如当采取法律行动并要求服务提供商提供对其资产的访问权限或数据时。为了降低数据不可用或泄露的可能性，组织可以在与服务提供商签订的合同安排中记录数据类型及其所有权。

此外，出于战略、运营或治理原因，组织可能会决定离开当前服务提供商。这可能涉及更换其他服务提供商、使用同一服务提供商提供不同的服务或返回本地解决方案。在许多情况下，需要在新旧服务或系统之间传输数据和功能。服务提供商可以通过确保数据尽可能可移植以及尽可能多的数据可导出来协助其客户。因此，数据应以文档格式存储，最好是开放标准，但请注意，未记录或专有格式可能会使组织更难执行备份、服务迁移或服务退役活动。

最后，为了确保组织有足够的时间下载其数据或在服务提供商停止提供某项特定服务时转移到另一个服务提供商，应在与服务提供商签订的合同安排中记录一个月的通知期。

服务提供商（包括任何分包商）为委托给他们或他们的服务的任何数据提供适当级别的保护。

与数据的机密性、完整性和可用性相关的安全要求记录在与服务提供商签订的合同安排中，并定期和持续进行审查，以确保它们仍然适合用途。

验证是否符合安全要求的权利在与服务提供商签订的合同安排中记录。

定期和持续地行使验证是否遵守与服务提供商签订的合同中记录的安全要求的权利。

与未能满足安全要求相关的中断条款已在与服务提供商签订的合同安排中记录。

服务提供商在网络安全事件发生或发现后尽快向指定联络点报告的要求已记录在与服务提供商签订的合同安排中。

服务提供商对其自身服务提供商安排的重大变更至少需要一个月的通知期，并在与服务提供商签订的合同安排中记录。

数据类型及其所有权在与服务提供商签订的合同安排中记录。

处理、存储和传达数据的区域或可用区域，以及任何配置更改的最短通知期，均记录在与服务提供商签订的合同安排中。

与组织数据和服务相关的所有日志的访问权限均记录在与服务提供商签订的合同安排中。

以便携方式存储数据，允许备份、服务迁移和服务退役，而不会丢失任何数据，这在与服务提供商签订的合同安排中记录在案。

服务提供商停止任何服务的最短通知期为一个月，该通知期在与服务提供商签订的合同安排中记录。

服务提供商对系统、应用程序和数据的访问

为了履行合同义务，服务提供商可能需要访问其客户的系统、应用程序和数据。但是，如果没有适当的控制措施，这可能会使系统、应用程序和数据易受攻击——尤其是当访问发生在澳大利亚境外时。因此，组织应确保其系统、应用程序和数据不被服务提供商访问或管理，除非此类要求以及控制此类要求的相关措施已在与服务提供商的合同安排中记录在案。在此过程中，重要的是还应采取足够的措施来检测和记录任何未经授权的访问，例如客户支持代表或平台工程师访问加密密钥。在这种情况下，服务提供商应立即向其客户报告网络安全事件，并提供与未经授权访问有关的所有日志。

除非组织与服务提供商之间存在合同安排，否则服务提供商不得访问或管理组织的系统、应用程序和数据。

如果组织的系统、应用程序或数据被服务提供商以未经授权的方式访问或管理，则会立即通知该组织。