购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

4.5 安全治理职能确立

在明确软件供应商引入过程中各个安全薄弱环节,并确定相应的安全管理流程后,需为每个环节设立相应的安全治理职能人员去持续跟踪安全风险、跟进供应商安全治理结果,不断推动、维护、优化软件供应商安全治理流程。

(1)在明确软件供应商安全治理总体方针阶段,企业业务产品负责人需梳理业务核心需求,与技术负责人明确各需求潜在的安全风险。同时,需要与软件采购人员沟通交流,共同选择供应商、引入供应商、参与供应商安全治理全流程。

(2)在明确软件供应商安全治理总体方针阶段,企业法务人员需对领域法规、政策进行完整的解读,梳理出重点与关注点,并将相关法规、政策讲解、宣贯至业务需求负责人、研发负责人、采购人员等,帮助各部门人员掌握法规、政策。

(3)在软件供应商资质评估阶段,采购人员有义务全面了解相关软件供应商,与各供应商积极沟通,同时梳理各供应商基础信息、能力资质等,并将供应商信息、供应商软件产品信息提供给研发负责人、需求负责人,与之共同梳理软件供应商资质评估表。引入供应商后需对该表进行封档保存。

(4)在软件供应商风险评估阶段,研发负责人、需求负责人需对供应商、供应商软件产品进行全面的安全检测与风险评估,同时试用软件产品,验证其产品是否能真实满足业务需求,评估供应商提供的软件物料清单的真实性、透明度,并通过安全检测工具,检测软件产品潜在的安全风险;考察供应商是否具备持续服务能力,检验其产品是否具备多场景集成能力,以及产品易用性、适用性、灵活性等;同时通过威胁模拟等方式验证供应商提供的解决方案、应急响应服务是否能高效、快速消除可能产生的风险。

(5)在供应商引入阶段,相关负责人需持续关注软件产品部署安全,并在测试环境应用软件产品,以检验产品安全性,防止影响正常业务;相关采购负责人、商务负责人需明确合同各项规定;引入后需定时、定阶段对供应商及其软件产品进行评估,确保供应商及其软件产品能够适应真实业务场景,建立企业内部供应商信息库,构建供应商黑白名单。

(6)在供应商合作及软件产品使用阶段,业务负责人与安全人员需对软件供应商进行实时风险监控,对任何可能发生安全风险的威胁渗入点,进行与供应商的及时反馈交流,监督供应商及时修复并更新版本。同时,安全及运维人员需时刻关注项目资产变化与项目风险走势,对新增风险及时向供应商提出修复更新需求,并做好安全应急响应措施,尽早定位威胁点、做好风险溯源工作,将风险影响缩小到可控范围。

企业还需为所有人员定期进行相关安全培训,如帮助开发人员了解编码过程中的安全设计原则、安全开发标准等;帮助所有企业工作人员明确企业安全策略,包括有关下载应用程序、使用工作/个人设备、分享数据等,以及帮助其了解如何识别网络钓鱼电子邮件、常见的凭据盗窃战术与当前的攻击方法(如可疑附件、虚假账单请求等)等,以提高其安全意识,养成良好的安全习惯。

此外,在上述环节,需根据不同人员角色,授予不同级别资源访问权限的身份和凭据。确立安全治理职能与人员的过程中应遵循“最小特权原则”和“零信任原则”。 xdEJCm6DhU4dnh1jXi+HlVP17eU4PyuoMLfHdCl6YxVwAoALe1AVoIF9o2ZKyeiv

点击中间区域
呼出菜单
上一章
目录
下一章
×