知識內容

• GV.SC 供應鏈風險管理

  • 確保組織的利害關係人識別、建立、管理、監控和改進網路供應鏈風險管理流程，降低來自供應鏈的網路安全風險。

• GV.SC 供應鏈風險管理子類別

  • GV.SC-06
    採購事前規劃與調查

    • 目的

      • 與供應商或第三方建立正式關係前

      • 執行規劃和盡職調查以降低風險

    • 核心

      • 選擇供應商時，將資安納入考慮

    • 措施

      • 根據潛在供應商進行盡職調查

      • 分析廠商風險、重要與複雜度

      • 評估潛在廠商資安力與風管力

      • 針對業務資安要求對廠商評估

      • 採購使用前評估真實完整安全

    • 舉例

      • 要求廠商提供資安政策證明文件

      • 針對潛在廠商進行調查資安措施

  • GV.SC-07
    持續監控供應商

    • 目的

      • 持續監控供應商的資安風險

    • 核心

      • 風險隨時間變化需持續監控

    • 措施

      • 根據第三方名譽與重要性

        • 調整評估格式

        • 調整評估頻率

      • 評估是否符合資安要求的證明

        • 自我聲明文件

        • 保證書與證書

      • 使用審查、測試評估廠商能力

        • 確保履行義務

      • 監控關鍵廠商服務和產品

      • 安排重新評估重要性與風險

      • 規劃意外廠商中斷事項

        • 確保業務連續

    • 舉例

      • 定期審查供應商的網路安全政策

      • 對供應商進行資安安全審查

      • 監控與供應商相關的網路安全事件

  • GV.SC-08
    納入事件規劃回應恢復

    • 目的

      • 廠商參與組織事件應變和恢復計畫

    • 核心

      • 當網路安全事件影響到供應商時

      • 需要與他們協調應變和恢復活動

    • 措施

      • 定義和使用規則和協定

        • 用來事件應變

        • 用來事件恢復

        • 用來事件狀態

      • 明確定義事件應變角色和職責

      • 將關鍵廠商納入應變演練模擬

      • 組織間定義和協調危險溝通

      • 與關鍵廠商開經驗總結會議

    • 舉例

      • 與供應商分享組織的事件應變計畫

      • 與供應商一起進行事件應變演練

      • 發生資安事件與供應商建溝通管道

  • GV.SC-09
    整合後監控績效

    • 目的

      • 將供應鏈安全實務整合到企業風險

      • 監控資安與企業風險績效

    • 核心

      • 供應鏈中維護資安需持續監控改進

    • 措施

      • 要求所有採購都要有來源記錄

        • 技術

        • 產品

        • 服務

      • 針對所採購的元件提供證明

        • 未被竄改

        • 風險報告

      • 資安人員與營運人員進行溝通

        • 修補程式

        • 更新升級

      • 審查政策以確保要求核准廠商

        • 執行維護

      • 要求檢查硬體升級預防未授權

    • 舉例

      • 實施軟體和硬體的來源驗證流程

      • 定期審查供應鏈安全事件

      • 對供應鏈安全實務進行持續改進

  • GV.SC-10
    合約包含終止後活動

    • 目的

      • 確保合作夥伴關係或服務協議終止

      • 供應鏈風險管理計畫仍然有效

    • 核心

      • 服務協議終止仍有供應商風險

    • 措施

      • 正常和不利下終止關係建立流程

      • 制定元件生命週期

        • 結束維護支援

        • 定義淘汰條件

        • 實施維護計畫

      • 確定不再需要，立即停用廠商權限

      • 包含組織資料的資產是否妥善處理

        • 即時受控

        • 安全歸還

      • 制定和執行終止或轉移關係計畫

      • 減輕廠商終止而產生資料系統風險

      • 管理與廠商終止相關資料洩漏風險

    • 舉例

      • 要求供應商在協議終止後

        • 歸還所有敏感資料

        • 銷毀所有敏感資料

        • 停用供應商的權限

        • 遷移關鍵系統資料

小試身手

• 公司 A 正在尋找新的雲端服務供應商。根據 GV.SC-06，公司 A 在選擇供應商時應最優先考慮以下哪一項？

  • a) 供應商的價格

  • b) 供應商的聲譽

  • c) 供應商的資安

  • d) 供應商的技術

  • 答案

    • c

      • GV.SC-06 強調在與供應商建立正式關係之前，應執行規劃和盡職調查以降低風險。這表示在選擇供應商時，必須將網路安全風險因素納入考量。雖然價格、聲譽和技術能力都很重要，但供應商的網路安全實務才是降低潛在網路安全風險的最優先考量因素。

• 根據 GV.SC-07，以下哪一項最能描述持續監控供應商網路安全風險的原因？

  • a) 供應商可能會嘗試竊取組織的資料

  • b) 供應商的網路安全風險狀況可能會隨著時間而改變

  • c) 監控供應商可以幫助組織協商更好的價格

  • d) 法律要求組織監控其供應商

  • 答案

    • b

      • GV.SC-07 強調持續監控供應商網路安全風險的重要性。這是因為供應商的網路安全風險狀況並非靜態的，會隨著時間推移而發生變化。

• 公司 B 經歷了一次網路安全事件，影響到其關鍵供應商之一。根據 GV.SC-08，公司 B 應採取什麼措施來有效應對此事件？

  • a) 啟動與供應商協調的事件應變計畫

  • b) 終止與供應商的合約

  • c) 公開批評供應商的安全措施

  • d) 嘗試自行解決事件，而不通知供應商

  • 答案

    • a

      • GV.SC-08 強調將相關供應商和其他第三方納入事件規劃、應變和恢復活動。當網路安全事件影響到供應商時，與他們協調應變和恢復活動至關重要，這需要事先制定好與供應商協調的事件應變計畫。

• 根據 GV.SC-09，以下哪一項是將供應鏈安全實務整合到企業風險管理計畫中的最佳範例？

  • a) 每年一次審查供應商的網路安全政策

  • b) 要求所有採購的技術和產品和服務都要有來源記錄

  • c) 僅依賴供應商的自我聲明來評估其網路安全措施

  • d) 僅關注關鍵供應商的網路安全風險

  • 答案

    • b

      • GV.SC-09 說明，為了在整個供應鏈中維護網路安全，需要持續監控和改進。要求所有採購的技術產品和服務都要有來源記錄，才能確保產品來源可靠，並能有效追蹤產品在供應鏈中的每個環節，降低風險。

• 公司 C 決定終止與長期供應商的合作關係。根據 GV.SC-10，公司 C 在終止合約後應最優先考慮以下哪一項？

  • a) 與供應商協商更優惠的價格

  • b) 確保供應商不再能存取公司 C 的敏感資料

  • c) 向供應商提供有關公司 C 資安實務內容

  • d) 繼續監控供應商的網路安全風險狀況

  • 答案

    • b

      • GV.SC-10 強調，即使在合作夥伴關係或服務協議終止後，來自供應鏈的網路安全風險仍然存在。因此，在終止合約後，公司 C 應最優先考慮確保供應商不再能存取公司 C 的敏感資料，以防止數據洩露和其他網路安全風險。