在项目运维阶段,企业对软件供应商进行的持续风险监测对于企业信息保护、业务连续性维护、项目安全性维护具有极大作用。首先,持续风险监控能够帮助企业及时识别和评估软件供应商的风险,发现并解决潜在的安全漏洞和问题,确保企业系统和数据的安全稳定;其次,持续风险监控也能够促使企业与软件供应商建立良好、持久的合作关系,增强信任和沟通,为双方共同发展提供强有力的保障;最后,持续风险监控还可以帮助企业规避合规风险、有效控制成本,避免因风险爆发导致经济损失、信誉受损和违规处罚等。
对软件供应商进行持续的风险监控,首先需建立详细、具有可操作性的供应商风险监控制度,包括风险持续监控方式、风险监控点、合同管理、数据保护、引入风险资产管理等,并落实到具体单位、部门和人员职责,确保各潜在的威胁点均受监控覆盖,确保监控流程规范、有效,确保授权期内软件持续稳定可用。
企业对所使用软件的供应商进行定期风险评估,收集和整理风险信息,评估和分析供应商的风险水平,分析其对企业安全和业务连续性可能造成的影响;对其提供的软件产品可借助第三方评估机构或内部专业人员进行风险检测与评审,如风险监测识别、漏洞检测与修复、完整性保护、安全测试等;定期排查授权使用期限、超过维保期限但仍在使用的软件,并对排查软件定期做知识产权及风险分析;供应商在生产地、注册地所在国家或地区出现因政治、外交、贸易、自然灾害、公共安全事件等不可抗力导致或可能导致供应中断时,企业需做好紧急预案,及时采取应对措施,对于应用于重要场景的,如关键信息基础设施运营者等,需准备其软件供应替代方案;供应双方应在软件进行升级维护时,采用安全可控的渠道交付软件升级包、补丁包,并开展相应的安全性测试、完整性校验等工作,在确保安全后进行软件更新升级,并同步更新相关配置;企业应根据需求、协议等定期检查软件是否受到篡改;企业在发现存在脆弱性、漏洞等可能影响业务连续性的风险后,应按照相关规定及时通报用户及相关政府部门,并与供应商沟通,快速采取补救措施。
除了维护项目、软件产品及对供应商的持续风险监控,还需对企业资产台账定期监控审查,对使用过程进行记录、定期检查与维护,对资产的引入可建立黑白名单等引入机制进行严格把关评审,及时更新维护软件构成图谱,保障软件资产清单、软件物料清单的时效性、真实性、可溯源;供应双方还应共同保障维护过程中的数据安全,防止数据泄露、篡改和损毁等安全事件。
对于重要组织或场景,如关键信息基础设施运营者等,企业自身也需掌握重要软件、组件的代码结构和技术原理,具备修改、二次开发和独立维护能力。同时可配备专门的运维技术团队,制定应急响应计划,以应对包括但不限于软件供应链中断、有组织的网络攻击等安全事件。
最后,供应双方应根据协议形成常态化风险监测机制,及时发现并处置软件中断供应、停止授权、停止提供产品升级等持续供应风险,漏洞、后门等技术安全风险和信息泄露、数据篡改等数据安全风险。