随着网络犯罪的升级,具有网络意识的组织已集中精力防范网络犯罪威胁。随着主要目标呈现出更强大的安全态势,威胁行为者越来越多地转向链中较弱的环节——尤其是供应链。

那么,什么是供应链?

简单来说,供应链是将原材料或零部件转化为提供给消费者的成品或服务的过程。这包括过程的任何部分所涉及的组织、人员、技术、活动、信息和资源。

今天,在很大程度上由于技术创新,供应链非常复杂,包括制造或生产商品或产品的组织与其供应商、分销商和业务合作伙伴之间的相互依赖和联系。

虽然多个组织的相互依赖和连通性有很多好处,例如降低成本、增加收入、扩大机会等, 供应链中存在多个实体会带来固有的风险水平。

在某些情况下,供应商和组织之间的连接可能意味着当一个受到威胁时,另一个也可能受到威胁。在其他情况下,供应商可能拥有组织的一些敏感数据。

多年来,在与供应商和服务提供商的协议中包含安全承诺一直是一种标准做法。近年来,重点已转移到要求供应商或服务提供商通过安全调查问卷证明他们已经实施了对组织很重要的安全实践。然而,尽管有这种自我证明,网络风险仍然是许多组织的问题,并且评估供应链中的风险变得越来越突出。

审计和认证界似乎也不可避免地将目光投向了供应链。长期以来,在与服务提供商的关系中,评估和报告控制环境和安全性的选择有很多。这些选项,包括审核/认证,例如 ISO/IEC 27001, 信任, 美国国家标准技术研究所, 和 SOC2,也可适用于供应商。我们将探索一些可供供应商使用的新审计和报告选项——供应链 SOC 和网络安全成熟度模型认证——由国防部推出。

供应链 SOC

2020 年 3 月,AICPA 推出了一个新的风险报告框架,即供应链 SOC——报告与生产、制造或分销系统中的安全、可用性、处理完整性、机密性或隐私相关的控制检查。这是 AICPA 的系统和组织控制 (SOC) 服务套件中的最新产品。 (在此处查看有关 SOC 产品的更多信息: //www.massaggieros.com/services/security-risk/it-assurance/soc/。) 新的 供应链框架的 SOC 旨在识别、评估和解决供应链风险。一些例子包括:

  • 可能会提供不符合规定的产品性能规格的产品。
  • 可能无法满足交付和质量承诺要求。
  • 可能无法满足生产、制造或分销承诺要求。

这份报告有价值吗?

绝对地!供应链中的任何实体都可以从供应链评估的 SOC 中受益。生产、制造或分销产品的公司及其供应商可以利用该报告来展示他们如何解决环境中的风险。供应链 SOC 报告将有关公司系统和系统内控制的有用信息传达给客户、业务合作伙伴以及潜在客户和业务合作伙伴。

此外,LBMC 建议组织通过要求其供应商和业务合作伙伴获得 供应链 SOC 他们可以查看报告以了解该组织实施的控制。

网络安全成熟度模型认证 (CMMC)

The 网络安全成熟度模型认证 或 CMMC 是一项不断发展的认证计划,国防部于 2019 年启动。国防部认识到,其主要驱动因素之一——保护国家利益——可能受到国防供应链中的网络安全风险的威胁。虽然合同要求国防部的主要和次要承包商建立并证明某些最低安全级别,但尚未建立更可靠的安全评估和报告。

根据 负责采购和维持的国防部副部长办公室,网络安全成熟度模型认证 (CMMC) 框架包含五个成熟度流程和 171 个网络安全最佳实践,这些实践跨越五个成熟度级别。 CMMC 成熟度流程将网络安全活动制度化,以确保它们的一致性、可重复性和高质量。 CMMC 实践提供了一系列跨级别的缓解措施,从第 1 级的基本保护开始,到第 3 级对受控非机密信息 (CUI) 的广泛保护,并最终降低来自高级持续威胁 (APT) 的风险级别 4 和 5。CMMC 框架与认证计划相结合,以验证流程和实践的实施。

CMMC 认证机构 (CMMC-AB) 仍处于建立认证生态系统的早期阶段。试点的当前阶段被视为临时阶段,涉及数量有限的临时评估员及其相关认证机构(或第三方评估组织)。国防部今年试行的合同不超过 15 份,并且要到 2025 年才会全面实施该要求。

网络安全成熟度模型认证 (CMMC) 认证框架影响美国国防部 (DoD) 承包商、供应链、解决方案提供商和系统集成商。

在此处了解更多信息: //www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf

 

LBMC 信息安全可以帮助保护您的组织免受供应链中不断升级的网络犯罪威胁。 接触 我们以了解有关供应链报告或 CMMC 的 SOC 的更多信息,并开始咨询​​!