iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 27
1
Security

推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。系列 第 27

動員大外宣: 拉供應商/合作夥伴一起提升(向下)

https://ithelp.ithome.com.tw/upload/images/20201010/20129755cCKFLB5yLe.png

趨近尾聲了,今天開始來講對外的部分啦,其主角就是企業的供應鏈(供應商/合作商/3th Party)

在我們努力把本體提升的同時,供應鏈中的各種廠商/夥伴儘管不是我們同公司管轄的範圍,但是由於密切合作的商業往來,仍有很大的機會成為跳板,外部威脅先攻擊較為薄弱的供應商、再轉向攻擊主要目標(我們)。

因此,拉著供應鏈成員一起提升資安對企業的安全共好是有利的,供應商的資訊安全今年起聲量逐步上升,包含台積電也在資安大會中提到對於供應鏈的資安要求。

對於供應鏈中的廠商,我們該怎麼著手呢?建議除了把本公司資安推進的藍圖作法分享外,也可以逐步設立【xx公司資安宣導季刊】、【供應商合作資安基準】、【法律文件簽署】:

  • 【xx公司資安宣導季刊】
    把對於該產業的資安新聞、近期資安攻擊、我方對於供應鏈資安的期許等資訊放入,做成一份宣導期刊發放給供應鏈的合作窗口,初期頻率不用多,每季或每半年發行一次,作為一個柔性的宣導措施,讓他們知道我們對於資安的重視。

  • 【供應商合作資安基準】
    這一項會比較硬一些,主要設立基準線(Base Line),要求供應商需要符合此基礎基準方可與我方做生意(ex:具有ISO27001認證廠商),讓合作夥伴們至少都在一定的資安水平上。這一項在跨國外商企業(例如:Apple設有**「供應商責任標準」及「供應商行為準則」則**),針對供應鏈要求各項資安基準,並定期查核評鑑。
    初期規劃設立時,也建議設有落日條款和較長的緩衝期,讓準備不及的供應商有充裕的時間應對。

  • 【法律文件簽署】
    這部分相信在雙方合作簽訂時,皆具有基礎的保密協議,但是如今針對個資法、營業秘密保護法等的新法實施,我建議找法律顧問(或是公司法務單位)討論一下,是否要要求供應商們補簽或增簽署新的文件,以保障雙方在資安適法性上的權利義務。

TSMC
(圖片引用自台積電)

延伸閱讀與參考資料
供應鏈安全層面大剖析,奧義揭露臺灣多起APT攻擊事件都是對方從供應鏈下手
攻擊型態趨於多元,供應鏈防護需涵蓋VPN網路與外部服務
強化資訊保護 台積電成立供應商資訊安全協會


上一篇
皇城大內宣: 持續對內的宣達與教育訓練(向內)
下一篇
皇城大內宣: 讓老闆有感的資安簡報學(向上)
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30

尚未有邦友留言

立即登入留言