信息技术和云服务
网络供应链风险管理活动应在采购流程的最早阶段进行。特别是,组织应考虑在设计,构建,存储,交付,安装,操作,维护和退役系统,软件和硬件时可能出现的安全风险。这包括识别和管理与使用供应商和服务提供商相关的管辖权、治理、隐私和安全风险。例如,外包云服务可能位于离岸,并在客户不知情的情况下进行合法和隐蔽的数据收集。此外,使用离岸服务会带来管辖权风险,因为外国法律可能会在几乎没有警告的情况下发生变化。最后,在澳大利亚运营的外资服务提供商可能受制于外国政府合法访问属于其客户的数据。
在管理网络供应链风险时,组织必须优先考虑那些已表现出对设计安全实践的承诺,并在透明度和维护自身系统、服务和网络供应链安全性方面具有良好记录的供应商和服务提供商。此外,在某些情况下,明确界定供应商、服务提供商及其客户责任的共享负责任模式可能非常有益。
识别和理解与系统安全性相关的组件和服务。
在获得与系统安全有关的组件和服务之前,对供应商和服务提供商(包括其原籍国)进行审查,以评估系统安全风险状况可能增加的情况,包括确定高风险者。
不使用被确定为高风险的供应商和服务提供商。
与系统安全性相关的组件和服务是从已承诺采用设计安全实践的供应商和服务提供商中挑选的。
与系统安全性相关的组件和服务是从供应商和服务提供商中选择的,这些供应商和服务供应商在透明度和维护自己的系统、服务和网络供应链的安全性方面有着良好的记录。
在供应商、服务提供商及其客户之间创建、记录和共享责任模型,以阐明各方的安全责任。
外包可以成为提供云服务的具有成本效益的选择,并可能提供卓越的服务;但是,它也可能影响组织的安全风险状况。最终,组织仍然需要决定特定的外包云服务是否代表可接受的安全风险,并在适当的情况下授权其供自己使用。
云服务提供商及其云服务将需要由信息安全注册评估程序(IRAP)评估员定期进行安全评估,以确定其安全状况和与其使用相关的安全风险。在初始安全评估之后,后续安全评估应侧重于提供的任何新云服务以及自上次安全评估以来发生的任何与安全相关的更改。
维护并定期审核外包云服务注册。
外包云服务注册包含每个外包云服务的以下内容:
7.云服务提供商的联系点。
使用外包信息技术或云服务时,保护数据的义务与使用内部服务时没有什么不同。因此,服务提供商与其客户之间的合同安排应解决如何管理安全风险的问题。但是,在某些情况下,组织可能需要在服务提供商实施所有安全要求之前使用信息技术或云服务。在这种情况下,合同安排应包括执行安全要求的适当时限,以及未能实现这些时效条款的中断条款。
为了履行合同职责,服务提供商可能需要访问其客户的系统和数据。但是,如果没有适当的安全控制措施,这可能会使系统和数据容易受到攻击 - 特别是当访问发生在澳大利亚境外时。因此,组织应确保服务提供商不会访问或管理其系统和数据,除非此类要求以及控制此类要求的相关措施记录在合同安排中。在此过程中,还必须采取足够的措施来检测和记录任何未经授权的访问,例如客户支持代表或平台工程师访问加密密钥。在这种情况下,服务提供商应立即向其客户报告网络安全事件,并提供与未经授权的访问有关的所有日志。
服务提供商不会访问或管理组织的系统和数据,除非组织与服务提供商之间存在合同安排。
如果服务提供商以未经授权的方式访问或管理组织的系统或数据,则会立即通知组织。
注:本文档翻译参考来源为ACSC,部分词汇在本文中做了技术性调整
联系客服
