《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > CISA發(fā)布托管服務(wù)提供商選擇的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)指南

CISA發(fā)布托管服務(wù)提供商選擇的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)指南

2021-09-16
來源:網(wǎng)空閑話
關(guān)鍵詞: CISA 網(wǎng)絡(luò)安全 指南

  美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 日前發(fā)布了新指南,供政府和私人組織在尋求將服務(wù)外包給托管服務(wù)提供商 (MSP) 時(shí)加以考慮,。為了幫助組織做出信息技術(shù)(IT)服務(wù)決策,,國(guó)土安全部(DHS)下屬網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的國(guó)家風(fēng)險(xiǎn)管理中心(NRMC)為被管理服務(wù)提供商客戶開發(fā)了一套風(fēng)險(xiǎn)考慮。該框架匯編來自CISA,、IT和通信行業(yè)合作伙伴的信息,,為組織提供資源,以便在確定滿足其獨(dú)特需求的最佳解決方案時(shí)做出風(fēng)險(xiǎn)決策,。

  CISA發(fā)布的新指南名為“托管服務(wù)提供商客戶的風(fēng)險(xiǎn)注意事項(xiàng)”,,針對(duì)三個(gè)決策群體:高級(jí)管理人員和董事會(huì)、采購(gòu)專業(yè)人員,、網(wǎng)絡(luò)/系統(tǒng)管理員和一線網(wǎng)絡(luò)安全人員,。

  該文檔包括來自各種權(quán)威機(jī)構(gòu)(例如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST))的最佳實(shí)踐和注意事項(xiàng),供組織審查其安全實(shí)踐并確保他們準(zhǔn)備好防止網(wǎng)絡(luò)攻擊,。

  CISA 解釋說,,高管有其風(fēng)險(xiǎn)管理職責(zé),并應(yīng)保持對(duì)其組織內(nèi)使用的系統(tǒng)和技術(shù)的認(rèn)識(shí),。他們還應(yīng)該了解與系統(tǒng),、數(shù)據(jù)、生產(chǎn)力和客戶信心損失相關(guān)的風(fēng)險(xiǎn),,以及與罰款和監(jiān)管成本相關(guān)的成本,。

  高管以及參與采購(gòu)的員工應(yīng)針對(duì)企業(yè)風(fēng)險(xiǎn)分析外包的好處,,并應(yīng)確保在出現(xiàn)可能影響運(yùn)營(yíng)和影響客戶的故障或事故時(shí),客戶和供應(yīng)商共同承擔(dān)責(zé)任,。

  “為了最大限度地減少外包 IT 服務(wù)時(shí)的此類中斷,,組織可以使用責(zé)任共擔(dān)模型在供應(yīng)商協(xié)議中定義角色和責(zé)任,該模型闡明了供應(yīng)商的責(zé)任,、客戶的責(zé)任以及雙方共同承擔(dān)的任何責(zé)任,,”CISA的指南中指出。

  組織應(yīng)制定企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃,,以考慮與使用 MSP 提供的 IT 服務(wù)相關(guān)的潛在風(fēng)險(xiǎn),。可能無法實(shí)施此類計(jì)劃的中小型企業(yè) (SMB) 仍應(yīng)對(duì)關(guān)鍵資產(chǎn)進(jìn)行分類并評(píng)估這些資產(chǎn)的風(fēng)險(xiǎn),,并優(yōu)先考慮將其納入供應(yīng)商協(xié)議并針對(duì)影響它們的事件制定應(yīng)急計(jì)劃,。

  CISA 說,需求管理流程應(yīng)該跨職能領(lǐng)域進(jìn)行協(xié)調(diào),,以確保性能,、可靠性和安全性。CISA 指出,,擔(dān)任采購(gòu)角色的個(gè)人應(yīng)創(chuàng)建并維護(hù)一份要求清單,,其中應(yīng)包括“對(duì)安全性、運(yùn)營(yíng)連續(xù)性和其他核心業(yè)務(wù)功能的考慮”,。組織應(yīng)根據(jù)這些要求審查潛在的MSP,。

  該機(jī)構(gòu)還建議組織在簽署協(xié)議之前向MSP提出具體要求,其中包括確認(rèn)簽署MSP的個(gè)人負(fù)責(zé)服務(wù)的安全,、事件管理和補(bǔ)救能力的詳細(xì)信息,,并解釋不同客戶的數(shù)據(jù)在MSP網(wǎng)絡(luò)上是如何分離的。

  負(fù)責(zé)監(jiān)控和管理MSP活動(dòng)的員工應(yīng)制定任何第三方供應(yīng)商享有的訪問級(jí)別策略,,并鼓勵(lì)組織不斷重新評(píng)估訪問要求,。在可能的情況下,應(yīng)在簽訂合同之前定義特權(quán)和訪問級(jí)別,,以確保供應(yīng)商能夠滿足服務(wù)要求,。對(duì)網(wǎng)絡(luò)管理員、系統(tǒng)管理員和網(wǎng)絡(luò)防御者的建議中,,特別強(qiáng)調(diào)了組織的網(wǎng)絡(luò)要運(yùn)用零信任模型的原則,。

  此外,建議組織維護(hù)重要記錄和網(wǎng)絡(luò)日志的異地備份,,以幫助在MSP發(fā)生事故時(shí)進(jìn)行恢復(fù)并驗(yàn)證供應(yīng)商活動(dòng),。根據(jù) NIST 的建議,企業(yè)應(yīng)在其事件響應(yīng)計(jì)劃中包括MSP等供應(yīng)商,,并應(yīng)定期更新這些計(jì)劃,。

  “NIST 還建議組織和供應(yīng)商為漏洞披露,、事件通知以及在事件期間與任何外部利益相關(guān)者的溝通建立明確的協(xié)議,。組織和供應(yīng)商還應(yīng)為客戶網(wǎng)絡(luò)上的威脅搜尋和事件響應(yīng)程序建立明確的授權(quán)協(xié)議,,”CISA 指出。

  將IT服務(wù)外包給MSP的SMB,,尋求提高效率和節(jié)省成本,,應(yīng)保持對(duì)其系統(tǒng)訪問的完全控制,應(yīng)了解供應(yīng)商訪問,,并應(yīng)保留網(wǎng)絡(luò)日志以及所有關(guān)鍵數(shù)據(jù)的異地備份,,指南中強(qiáng)調(diào)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。