下载掌阅APP,畅读海量书库
立即打开
对软件供应商的安全治理,应首先明确企业内部对供应商的安全治理总体方针,并以该方针为安全治理行动规范指导,切实履行制度规定,实践对软件供应商的安全治理。
总体方针应以业务需求为核心,以政策标准为主线导向,适应企业所处领域,建立一套完整详备、行之有效的软件供应商治理总体方针、安全制度和管控策略。其涵盖供应关系中参与人员管理机制、知识产权管理制度、供应活动管理制度、供应关系管理流程、安全事件相应制度等内容。同时,总体方针的制定与修订,应时刻围绕软件供应商风险识别和安全防范,对软件供应商进行安全监督、管理和检查。
选择软件供应商的核心目的是解决企业自身需求,企业首先应明确自身需求,包括业务发展需求、业务安全需求、业务核心痛点等,同时结合自身业务需求与业务规模发展速度,盘点梳理需求点、技术难点、安全注意事项等,整理汇总成一份备份文档,作为制定软件供应商安全管理总体方针的第一参考要素。
企业应将政策法规和领域指标作为软件供应商安全治理的重要抓手,作为软件供应商总体方针制定的主要参考。国内外都出台了相关的政策法规。
ISO组织发布的ISO/IEC27036和ISO28000系列标准提出了传统供应链安全管理需求和供应商关系管理相关的通用信息安全要求。
ISO/IEC27036-3将信息安全过程整合到系统生命周期全过程,提供了IT软件、硬件和服务的供应链安全指南,专门考虑了信息攻击方面的安全风险,如植入恶意代码或仿冒IT产品等。
我国在2009年发布了《供应链风险管理指南》(GB/T 24420—2009),提出了供应链风险管理过程框架和通用指南,包括供应链风险管理的步骤,以及识别、分析、评价和应对供应链风险的方法和工具,适用于各类组织保护其在供应链上进行的产品的采购活动。
2014年,我国发布的《信息安全技术 云计算服务安全能力要求》(GB/T 31168—2014)提出了云服务商应具备的技术能力,适用于对政府部门使用的云计算服务进行安全管理。
2016年,我国相继提出《信息安全技术 政府部门信息技术服务外包信息安全管理规范》(GB/T 32926—2016)和《信息安全技术 信息技术产品供应方行为安全准则》(GB/T 32921—2016),全面贯彻落实《全国人民代表大会常务委员会关于加强网络信息保护的决定》的精神,为用户相关信息收集和处理的安全、远程控制用户产品的安全和其他行为安全等方面,以及政府部门在使用信息技术服务外包时面临的外包服务机构、人员、管理等方面的问题,提供了制度参考和管理模型。
2018年,我国提出标准《信息安全技术ICT供应链安全风险管理指南》(GB/T 36637—2018),该系列第一部分提供了对27036系列标准的总体介绍,对供应商关系的类型、相关安全风险及风险管理相关概念进行了描述;第二部分对供应关系中的信息安全进行定义,并对实施、操作、应对措施等提出了通用要求;第三部分和第四部分针对ICT供应链方面的风险提出了应对措施。
除政策法规外,企业还要结合行业领域的安全指标或建议,依据业务应用、构建法律、监管框架、部门制度、指引标准等“量身定制”的配套制度,完善优化总体方针,使方针更贴合自身企业所处行业市场环境。
2021年9月,中国人民银行、中央网信办等五部门针对金融业行业现状,发布《关于规范金融业开源技术应用与发展的意见》。该意见指出,金融机构在使用开源技术时应遵循坚持安全可控、坚持合规使用、坚持问题导向、坚持开放创新的原则。并给出金融机构从代码托管平台、技术社区、开源机构官方网站等渠道引入开源代码、开源组件、开源软件和基于开源技术的云服务等不同场景下的安全建议。
2023年2月,中国证券业协会针对证券行业现状,发布《证券公司网络和信息安全三年提升计划(2023—2025)》(征求意见稿),该提升计划明确要求建立供应链产品清单和资产台账,加强对供应链产品的功能、性能和安全测试,加强对使用的第三方组件和开源组件的安全检测。
参考如上政策法规和领域标准,以软件供应商风险识别和安全防范为核心,形成多维度的供应商安全评估体系,包括:软件供应商资质评估机制、参与人员管理制度、知识产权保障机制、安全基线检测制度、供应商风险监控制度、安全时间响应机制、供应商清退机制等。形成一套明确的软件供应商风险管控总体方针,构建软件供应商评估模型、软件供应商考核标准、供应商引入机制安全框架等。