供应链安全威胁管理

supply-chain-security-management-broken

放眼全球各产业界,分工越来越细化,各企业在专注于核心竞争力的同时,也将工作重点聚焦于全球供应链之上。在质量、成本、速度、效率等业绩指标的压力下,安全方面的投入只能被一再挤压,天平开始失衡。

继2013年Target严重信息泄露事故之后,近年来,一连串的公司信息失窃案件特别是超市、百货、连锁、电商等行业的信息泄露事故多得让人揪心。这些安全事故中有不少是“冤大头”,就如同Home Depot和Goodwill这类的被黑客通过第三方厂商做跳板而光顾的。

一家企业,不管规模有多大,业务有多综合,也难避免会使用到第三方厂商的产品。然而,第三方厂商特别是小众化产品的安全使用问题长期以来都被忽视,五花八门的第三方厂商很可能并没有健全的产品安全漏洞修复机制,毕竟他们并不像Windows那些普及和常见。即使是自行开发的应用系统,也可能会在基本功能得到满足之后,缺乏长期的维护改进,特别是对所依赖的第三方中间件、控件或插件等等部件的安全审核。

环顾全球,世界越来越平坦,在全球性的供应链运行体中,与第三方的业务信息交换只会越来越多,与第三方的网络连接也只会越来越复杂,想想入侵Target的犯罪分子,要绕道空调供应商,问路电子账单系统,借壳Web程序漏洞,拐进PoS终端,方才剑指SQL主机。不要以为这是小概率甚至不可能的事情,在巨大的利益诱惑下,常人眼中的不可能正是技术高超且步步为营的黑客们所乐见的。

放眼国内,业务流程和科技创新对安全的驱动和需求更应该早日引起我们的重视,在结构调整、职能转变、营改增、简化流程、放宽准入等国家经济宏观政策刺激之下,市场将重焕活力,社会分工与协同合作将更为细化,战略创新型、绿色节能环保型的产品和服务将大批涌现,在这一波浪潮中,创新型的安全产品和服务也将被催生出来,同时,传统的安全解决方案也面临着全新的重大挑战。

安全业务的分工细化将带来服务外包的蓬勃发展,基于互联网云计算的服务外包模式在西方发达国家已经被证明成功了,不过在国家安全的顾虑和意识形态的壁障面前,美国的互联网公司只能被国内的借鉴者们和改良者击退。分工细化也将促进更多供应链管理方面的安全问题,入侵跳板、后门程序等顾虑无疑会让企业增加对第三方产品及服务的安全审核工作和监管需求。大规模的协同合作及移动化让信息的创建、交易的达成、数据的访问不再局限于传统上的工作区域和工作用终端设备,IT解决方案的消费化,让云端系统应用、终端设备安全、人员安全意识的管理需求日益严峻。

传统上,来自内部的安全威胁特别是内贼往往是信息失窃的最大因素之一,说到供应链的安全威胁,我们还是逃不开人员管理问题。不要以为供应链上的所有厂商的工作人员都是职场上的道德模范,相反,他们最为熟悉供应链信息流程,甚至这其中的弱点,他们具有对其它厂商信息系统的一定访问权限,如果这些人员起了歹心,不用非常高明的黑客技术,他们也能轻易窃取大量重要信息并来进行私下贩卖获利。如果他们再勾结外部技艺高超的黑客组织,那对供应链的破坏力将是前所未有的。

除了那些在职的内部人员和供应链人员,那些离职后仍然在这个行业中混的,特别是跳槽到竞争者行列中的人员,威胁程度可能更高。服务提供商、外部顾问、合同工等等通过可信的第三方渠道获得网络和数据存储,继而酿成安全事故的案例近年来越来越多。

不少企业并没有足够的针对内部人员和供应链人员威胁的应对措施,或者有必要的离职手续如保密协议和反竞业协议,但却并没有得到足够的足够的重视和执行。

如何进行供应链安全管理呢?昆明亭长朗然科技有限公司业务信息安全顾问董志军表示:

一、永远不要大意!既然大家处于同一条供应链上,依据木桶理论,供应链的安全管理水平最弱之处,将成为企业安全管理的短板。同在一条船上,就不能简单地通过一份合约把信息安全事故责任推给供应方,而应该从保障整个产业链安全健康共同发展的角度来实施供应链安全管理。知名的跨国公司无一例外都会对供应链进行定期的信息安全审核,就如同对待环境保护、安全生产和劳工福利等热点问题一样,看看苹果公司和富士康公司相关的产品制造新闻就知道供应链的安全是多么的重要。

二、不要简单以为供应链安全管理就是上下游厂商之间的利益博弈,做好供应链安全管理其实也是多方共赢的一件好事儿。首先,管理好供应链安全的前提当然是建立自身的信息安全管理体系,如果自家的信息安全管理水平尚处于混沌状态,想加入一个利润丰富的产业链都难,所以产业链中处于强势地位的大客户往往是供应链厂商提升信息安全管理能力的外部驱动力。其次,即使供应链厂商已经建立起了基本的信息安全管理体系,仍然可能有很大的改进空间,通过相互的交叉审核,不仅可以沟通交流经验,取长补短,更能让整体产业链的安全管理最佳实践得以提升,同时强化厂商之间的业务粘性。最后,拥有领先的信息安全管理水平的厂商,无疑会成为供应链甚至全行业内的信息安全标竿,在促进品牌商业信誉度的同时,依靠这些无形资产占领价值链中的中高端。

三、在技术控管方面,加强供应链接入层面的访问控制及威胁侦测,除了部署常规的防火墙和入侵检测系统之外,在应用系统和数据存取层面也强化监控和审核力度。参照、建立和强化对第三方安全产品的评估和审核力度,防范出现不可控的安全事故——安全厂商及其所在主权国家监管机关通过后门技术或系统回传等功能窃取商业机密及用户个人信息。

四、在流程控管方面,除了强化供应链安全方面的风险评估之外,应该强化帐户和权限的管理,建立和改善企业与供应链之间的帐户与权限管理机制,进行供应链用户进行定期的业务需求及访问权限相关的回顾,启用双重身份验证机制,防止出现身份效用、帐户密码权限分享、离职人员帐户未及时删除等安全隐患。

五、在人员管理方面,不能仅仅例行公事般,让员工和供应链人员草草签署保密协定。问一问,人们真正的理解保密协定中的内容和精神吗?我们要沟通教育,要让人们理解这些保密协定的核心内容,并且真正认可和接受它们。如果在特定的社会环境和发展年代之下,职场人士的职业道德水平普遍较低下,那么在沟通教育方面,必要的反面的教育典型一定不可少,只有在足够的警示效应和惩戒威慑下,人们才会真正的尊重规则和遵守契约。

当前,我国经济面临产业升级和结构调整的大好机遇,深化国有企业和国资改革必将兼并重组一大批公司。在传统产业向产业链、价值链的高端延伸时,供应链安全威胁必将愈演愈烈。而在人均国民收入不断上升,劳动力红利逐渐消失,劳动密集性产业向东盟国家大规模转移的大趋势下,全球及区域供应链安全威胁的管理能力,必将成为企业管理的一项核心工作。请让我们做好准备!

昆明亭长朗然科技有限公司,专注于帮助各类型的机构强化人员的信息安全管理,除了针对内部员工的安全意识培训视频教程之外,我们也提供针对管理层的简要业务安全课程。这些课程重在讲信息安全相关的道理,也是实现企业安全文化建设的重要智力源泉。欢迎各位业务安全管理界的专业人员与我们联系,洽谈业务信息安全相关的培训合作。

信息安全管理体系认证机构和认证流程

ISO 27001提供了由一个认证机构对一个组织的信息安全管理体系进行独立审计和认证的规范。如果信息安全管理体系被认为符合规范要求,组织可以被发放正式的证书以确认之。因此,证书往往能够体现一家组织的信息安全管理水准,于是,很多国际型的组织便要求供应链也具有相应的证书,方可与之建立信息联系和业务合作。对此,昆明亭长朗然科技有限公司信息安全管理咨询专员董志军称:欧美的大型组织通常会要求供应商证明自己在信息安全管理方面尽职尽责,证书就是最好的证明。

认证机构
认证是由独立的,可信的认证机构进行的。它们在不同的国家有不同的叫法,包括‘注册机构’、‘评估和登记机关’、‘认证/注册中心’和‘登记司’等等。无论他们被如何称呼,他们都在做同样的事情,并接受同样的要求。

通常来讲,经认可的认证机构是一个已经证明完全符合任何国际和国家标准规定的认证机构。不过,董志军补充说:信息安全管理体系证书的含金量主要体现在国际认证机构所发放的。因为文化环境的因素,国际大牌认证机构的国内分支发放的大量证书变质严重、可信度低;本土的拷贝机构所发放的证书虽然在可信度方面同样为众人所不齿,但是由于其有官方背景,反而受到很多寻求庇护的组织的青睐。

认证流程

对于已经通过ISO 9000或任何其他管理体系标准认证的任何组织,该认证流程将会非常熟悉。认证机构将分两个阶段发起审核流程。第一阶段将进行文件的审查(可能包括也可能不包括预认证的访问),这将使审计人员进行首次实际的正式访问以便能:

  • 熟悉该组织机构;
  • 对文件进行审查;
  • 确保ISMS得到了足够的开发,已经能够接受正式的审计;
  • 获取足够的关于该组织的信息,以及认证的目的和范围,以便有效地准备他们的审计。

这次访问是通常时间比较短,取决于组织的规模,可能只需要一两天。在作出访问之前,一些组织将开展远程文件审查。

正式审计
正式的审计,通常被称为’初审’,将花上数天时间。审计过程包括测试组织的(信息安全管理体系ISMS)文档流程以和标准的要求进行比较,以确认该组织已制订出符合标准要求的文档体系,然后再测试组织对ISMS的实际遵从情况。

审计工作将遵循一个预先设定的计划。审计人员将与他们进行沟通,包括和组织中的哪些人以及用什么顺序与他们面谈。

审计报告

认证审核将使用负面报道(也就是说,它会找出不足之处,而不是光辉点),以评估ISMS确保该组织的程序和流程,该组织的实际活动和执行的记录符合ISO 27001的要求,并且给出申报的系统的范围。审计的结果将是:
*书面审计报告(通常可在审计完成时交付)
*不符合项纠正措施和意见
*商定的纠正措施和时限

不符合项可以是轻微的或严重的;轻微的不符合项将被作为主要的改进机会,严重的不符合项将意味着该组织并不会(在这个阶段)成功地获得认证。通常, 当一个严重的不符合项被发现出来时,审计人员会建议,审计过程暂停,以便该组织使用足够的时间解决这个严重问题之后再重新开始。

审计输出结果

访问的预期结果应当是组织的ISMS通过了ISO 27001的认证和证书的效果问题。该证书应得到适当的展示,组织应该开始准备应对它的第一次监督访问,它将在约6个月后进行。

任何轻微的不符合项应该得到解决,并由邮件告知,所有证书的发放将依赖在事前商定的时间表内的整改情况。

审计监督将在审计后进行,既要确保他们不会发展成为不符合项,也要作为该组织持续改进活动的一部分。 正式批准的认证标志可以被组织用来当作营销材料。

补充说明

通常来讲,专业的信息安全内审人员都会知道如何应对外部审计和测评机构。但是审计人员的检查项通常也会包括检查工作区域和走访工作人员,如果这些区域和人员对信息安全的普遍理解和操作实践有重大失误,则会严重影响审计结果。经常出现严重的不符合项来自员工的访谈,造成审计的失败和时间的浪费。为防范这种情况,董志军建议组织的安全负责人注意强化办公区域的安全实践,在提升工作区域人员安全意识的同时,教导工作人员们如何正确应对审计面谈,至少让他们在信息安全方面不要随意猜测、推断、说些不肯定的话甚至瞎扯。比如某些人对某些安全要求可能有自己不同的观点,但是却不符合普适的安全价值,如果在面谈时对审计人员不加遮掩地表达出来,再添油加醋地进行一番批判,那就会造成审计人员认为组织在针对人员的信息安全意识培训工作方面存在不足。

昆明亭长朗然科技有限公司创作了大量信息安全意识方面的教程资源,包括动画视频、电子课件和宣传图片。同时,我们也提供在线的信息安全意识学习平台,可让受众们快速地学习和接受通用的信息安全意识理念。欢迎有兴趣有客户或合作伙伴联系我们,在线体验我们的作品,并进行合作洽谈。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898