第三方供应商信息安全风险管理实践

2016年Gartner报告TheStateofDigtitalThird-PartyRisk2016Report指出:59%的信息泄露是由于第三方供应商导致的，全球财富500强中75%的企业将供应商风险提升至董事会层面。2018年波耐蒙研究所(PonemonInstitute)研究指出：在英国和美国约有60%的公司表示他们通过第三方遭受了数据泄露，且其中只有35%的企业认为自己有行之有效的第三方风险管理计划。01与企业合作的供应商有能力保护相关隐私安全吗？02董事与高管在网络安全监督方面责任/难度越来越大每当出现高度曝光的数据泄露事件时，往往伴随的是相应上市企业股价的断崖式下跌及重大声誉危机，如今管理网络风险已成为企业董事和高管最大监督挑战之一，甚至已经成为他们的个人风险。为了更好的理解企业安全风险现状，董事会在不断的要求增加安全高管的汇报频度，但在BayDynamics的一项覆盖125位活跃董事会高管调查结论指出，81%的受访安全高管认为频繁的安全汇报分散了大量工作精力，71%的董事会成员认为安全风险汇报过于技术化，难以理解。背景问题BackGroundASEC供应链信息安全问题再次增加了信息安全治理的广度和难度美国零售巨头TARGET黑客通过其空调供应商HVAC的远程维护系统入侵到TARGET的内部网络，导致近1亿用户数据泄露电动汽车独角兽特斯拉黑客入侵了其工业自动化供应商levelone的数据库，导致近157GB的蓝图、工厂原理图、客户资料（合同、发票、工作计划等）泄露国内智能手机制造商黑客通过入侵其物流供应商系统窃取相关数十万用户订单数据国内金融保险企业因其供应商**健康科技的网站存在漏洞，泄露数十万条保险用户的险种、手机号、身份证号、密码信息供应商风险评估的普遍缺位营销获客ITOBPO业务收益业务风险物流代发工资制卡商旅电话客服提升非核心业务能力效率企业资源聚焦核心业务安全声誉风险、安全合规风险、人员操作风险提升业务运营指标借助第三方在技术领域能力知识快速满足业务需求技术安全质量风险人员操作风险数据隐私泄露、滥用风险安全声誉风险引入供应商需要平衡业务收益与潜在风险，但往往风险评估是缺位或不详尽的营销短信CPS、CPA广告电话销售外包软件开发机房托管IT运维托管持续监控力度不足年度检查、抽检等方式监控颗粒度不足，信息安全态势瞬息万变，容易遗漏前后改进效果不清晰对发现的问题跟踪整改后，缺乏评估整改前后的效果量化评估，对供应商的安全能力缺乏整体认知评估方式不够自动化传统评估依赖人工审查，审查常因人力资源问题无法全面覆盖，缺乏自动化的方式提升评估效率供应商现状了解不足仅凭供应商安全资质无法正确体现信息安全能力真实水平，资质代理严谨程度不一，安全资质仅为投标加分而拿01020304供应商风险评估的现状与挑战-通过平台自动化对供应商进行安全评估，1-2周内拿到评估结果和报告-对发现高风险的供应商要求进行风险说明或拒绝合作374/1000715/1000采购入围398/1000高风险拒绝准入709/1000低风险准入418/1000649/1000风险监控感知触发审计要求风险说明在供应商入围阶段启动信息安全评估611/1000对合作供应商信息安全的持续监控-对已合作供应商的持续安全态势监控，一旦发现新增风险，向业务合作方披露风险并触发下一步的安全审计要求进行风险说明平安供应商风险评估平台安全级别：普通SRSsecurityratingservices信息安全量化服务风险事件incidents企业数据泄露、黑客攻击、严重漏洞、员工渎职新闻事件负面舆情信息安全负面舆情与信息资产关联的威胁情报，来自公开、商业、威胁情报联盟的情报信息威胁情报与缺陷扫描网络空间内公开可发现的信息资产信息采集整理，对相关资产缺陷进行扫描监控网络空间测绘缺陷扫描evaluation端到端的供应商内部安全控制评估问卷，基于等保、ISO27001、行业监管框架设计安全控制评估问卷问卷评估questionnaire安全资质certification企业基本工商注册信息(自动化)企业上下游关联公司关系企业信息安全资质企业基本信息自动化收集企业信息安全水平相关信息，通过安全大数据对企业信息安全水平进行量化评价自动化收集的企业信息安全情报通过在线问卷收集的安全控制信息实时采集分析平均2周内即可完成的问卷每日更新的企业安全评分709/1000平安供应商风险评估平台企业名称官网发现子域名发现IP发现应用发现SEO官网内容挖掘ASN网段发现nslookupnslookup应用市场挖掘应用代码扫描ICP域名备案查询IPDNS反查威胁情报缺陷扫描信息安全舆情App/webassessmentIP信誉情报企业安全声誉供应商企业IT资产自动探索发现IT资产持续自动化评估亿级威胁情报库日均更新数百万覆盖数十万境内外网媒日均审查新增数千万篇近百类安全配置缺陷检测数百类漏洞检测(仅授权下进行)持续维护增加供应商资产图谱的自动探索与评估100+安全相关法规600+安全评估问题新法规持续解读、录入集团安全管理采购、业务、信息安全通过供应商风险评估平台的行业评估问卷模板筛选与供应商企业匹配的安全评估问卷电子问卷以邮件发送给供应商企业回答平均两周内完成问卷BPO企业模板精准营销企业模板问卷答复结果反馈计入评分供应商安全控制能力的自动化问卷审查国际法规《ISO/IEC27001：2013信息技术安全《ISO/IEC27000：2016信息技术安全《ISO22301：2012公共安全PII(个人隐私)云计算《个人信息去标识化指南》《电信和互联网用户个人信息保护规定》《个人资料(私隐)条例》…《CSA云计算安全技术要求-PaaS安《CSA云计算安全技术要求-SaaS《CSA云计算安全技术要求-Ia安全几何信息安全法律规范知识库《监管政策手册-TM-G-2-…《降低及紓減與互聯網交易香港内地《国家网络安全事件应《信息安全等级保护管理《中华人民共和国网络安全法》金融《非银行支付机构信息科技《银行业金融机构重要信《保险机构内部审计工《保险公司信息系统安全管《证券期货业信息安全事《证券公司集中交易安全保险证券地区法规行业监管法规01安全评估概览展示自身企业的安全评分与趋势，影响评分评级的目前首要问题02供应商风险管理展示录入合作供应商，并展示合作供应商目前的风险态势03自动化生产安全报告展示录入合作供应商，并展示合作供应商目前的风险态势安全几何平安合作方安全体检采购准入投资并购供应商风险管理平台现场审计在线审计供应商风险评估平台整体方向•自有威胁情报•威胁情报联盟•商采开源威胁情报威胁情报•网络空间资产发现与描述•资产属主自动化发现维护网络空间测绘•行业、地区安全法规•法规控制项、控制问题、控制框架合规知识库•资产安全配置缺陷、漏洞自动化审计•缺陷、漏洞与合规检查项的关联关系自动化缺陷审计•自动化生成的安全评分详细阐述报告，帮助进行安全汇报与确定安全投资决策安全研判报告•标准化安全评分评级，在同行间横向比较自身水平安全评分评级