网络供应链安全的建议和实践

网络供应链安全是确保供应链组件如硬件、软件和服务不受恶意攻击和破坏的关键环节。随着越来越多的企业依赖第三方供应商和承包商来执行各种业务操作,网络供应链安全变得越来越重要。近些年,关于绕道供应链,渗透大型目标的网络攻击案例时常见诸媒体。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:原因很简单,很多大型目标本身的网络安全防范能力很强大,但是供应链却存在容易被利用的安全弱点。

组织的数字化程度越高,供应链安全就越不容忽视。如下,我们将分享一些有关网络供应链安全的建议和实践,希望能帮助您更好地保护贵司的敏感数据和系统。

首先,在与第三方供应商或承包商建立业务关系之前,务必进行充分的尽职调查。这可以包括审查他们的安全政策、进行漏洞评估,并确保他们有应变计划。

其次,在与第三方供应商或承包商建立业务关系时,务必在合同中加入强有力的网络安全语言,包括定期的安全审计、应变计划和数据保护措施。

第三,建立一个正式的供应商管理计划,以监督和管理第三方关系,包括定期的安全评估、持续的监测和培训。

第四,实施多因素身份验证。多因素身份验证(MFA)可以帮助保护敏感数据和系统免受未经授权的访问,应对所有第三方供应商和承包商实施MFA。

第五,加密数据。加密数据在传输和静止状态下可以帮助保护数据泄露和未经授权的访问。

第六,定期监测第三方供应商和承包商的活动,查找任何可疑的行为,例如不寻常的登录尝试或数据传输。

第七,定期培训员工和第三方供应商和承包商关于网络安全最佳实践,包括密码管理、钓鱼意识和应变计划。

第八,有一个应变计划。有一个清晰的应变计划,包括数据泄露涉及第三方供应商或承包商的应对措施。

通过遵循这些网络供应链安全建议,您可以更好地保护贵司的敏感数据和系统免受网络威胁。关于员工及第三方供应商的网络安全意识培训,昆明亭长朗然科技有限公司创作了大量的安全意识教程资源,包括动画视频、电子图片和教学课件,我们也提供在线的电子学习服务,欢迎有兴趣的客户联系我们,体验课程内容以及洽谈业务方面的合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

定义信息安全管理体系的范围

信息安全管理计划工作的第一步就是设定工作范围。

划定范围的要求在信息安全管理体系标准的条文中。具体的要求是,该组织将“依据在商业方面的特点、组织、位置、资产和技术,定义ISMS的范围和界限,并包括从范围中排除的所有细节和理由。”通常来讲,要划在范围内部的都是些核心的信息资产。对此,昆明亭长朗然科技有限公司信息安全管理意识培训专员董志军说:当然,也存在为了方便通过认证,而特意将范围划小的情形。不过,这种情况非常之少,对商业企业来讲,搞信息安全管理体系建设,是要投入巨大的人力物力,以换取信息安全水平提升方面的回报。因此,没必要搞些表面工作。

标准的第1章节(范围)中也明确提到这点。它强调,标准中“商业”的广义解释是以该组织的生存为目的的主要活动。

第1章节给出决定ISMS项目范围的四个准则如下:
1.哪个法律或管理机构将为ISMS负责?
2.上述机构将拥有、经营和依赖哪些信息资产?
3.生成、存储和共享信息相关的流程都有哪些?
4.有什么法律和规章的规定要求适用于该信息?

范围界定实践
范围界定实践应当确定什么在ISMS的范围内,什么是范围之外。ISMS于是在内外之间设定了一个边界。ISMS的开发要求内、外部之间有一个联系点,这个联系点将被当做一个潜在的风险点,需要具体和适当的应对处理。

小型组织
在小组织里,所有的东西都应该在ISMS的范围内。这符合标准规定的期望,简单的情形适用简单的方案。ISO 27001特别强调从范围内排除的要求,并特别指出,所有的信息资产,或者和信息资产有关的任何东西,都应在信息安全管理体系的范围内。

大型组织
在较大的组织里,特别是那些有多个部门、多个经营场所和单位的组织里,范围的划定将更为复杂。上述的四个准则将有助于我们做出适当的决定。通常情况下,简 单地列出所有的信息资产和信息流的行为有助于明确确定ISMS的范围。要对在范围内的资产分别进行风险评估,所以尽早地识别出来它们有利于整个项目的进 展。
要注意,如流程一类的信息资产,不能一半在ISMS中,一半不在;它们要么整个全在范围内,要么就全部都不在。

法律和监管框架
对较大组织来讲,法律和监管框架对ISMS的范围有具体的要求。很显然,属于任何一个单一的法规或其他法律要求的范围内的信息和信息管理流程,必需在ISMS的范围内。

附加的话
总之,信息安全管理体系的工作范围应该有一个划定,特别是对于大型机构,不然工作起来没有一个边界,就难以衡量成功与否。关于对此的认识,很多计划实施信息安全管理系统的组织机构,需加强内部人员沟通,以免产生误解。毕竟,对于所有组织机构来讲,各个部门的人员几乎都为认为自己的工作岗位很重要,相关部门的信息资产和流程应该被列进范围之类。实际上并非如此,尽管高管们清楚核心的信息资产所在,要让员工们认识到这点,才能真正让其投入到后期的信息安全控管工作之中。

当然,除了防范推诿扯皮,从强化风险治理及法规遵循的角度来讲,将相关信息资产与商业流程划入信息安全管理体系工作的范围之内,也是需要进行沟通协调的,这种沟通协调工作虽然不多,不过也算是整体信息安全意识沟通工作中的一部分。

针对各种规模的组织机构,包括大、中、小型,昆明亭长朗然科技有限公司都有适用的信息安全意识沟通与宣教资源素材,欢迎有兴趣、有需要的客户及合作伙伴联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898