觀念平台－委外評估應納供應鏈資安風險

惡意攻擊者利用資安防護相對不足之供應鏈廠商作為跳板，從側翼入侵之手法突破主要攻擊對象的資安防護，諸如已發生的SolarWinds、Kaseya與Log4j等事件，這些重大供應鏈資安事件，都為供應鏈資訊安全管理敲響警鐘。

除了合規之外

更應重視風險控管

近年全球各國普遍提倡供應鏈安全管理之議題，我國主管機關亦推動企業對於供應鏈資訊安全之重視，陸續於《資通安全管理法》、《個人資料保護法》、《政府資訊委外資安參考指引》、《上市上櫃公司資通安全管控指引》與《金融資安行動方案》中要求企業應重視作業委外時之資訊安全與隱私保護之要求。

勤業眾信建議企業除遵循法規要求落實供應鏈資訊安全外，面對全球委外新趨勢專業分工精緻化，亦需考量接軌國際供應商之安全管控要求與國際標準，如：美國國家標準技術研究所「網路安全供應鏈風險管理最佳實務」（NIST Special Publication 800-161）及英國國家網路安全中心「供應鏈安全指引」（NCSC Supply Chain Security Guidance）等規範，確保以一致性之標準衡量企業與供應鏈間資安成熟度，避免管控差異形成資安風險。

從供應商管理

生命週期著手

為妥善管理供應商之風險，應從委外前、供應商選商規劃、供應商契約管理、供應商服務期間之管理，乃至供應商契約終止進行完整週期循環。

1、委外前：在作業委外前，企業應針對擬委外之項目執行分析，評估是否適合將作業委外，包含分析委外項目之資訊安全風險與可行性，由內而外評估委外之適切性，並依據評估之結果執行選商、契約要求，並考量該項作業委外需求之資訊安全要求與限制。

2、委外期間：在作業委外契約存續期間，企業應持續監督及管理委外風險，包含服務期間的服務水準與安全控制之要求，以確保與企業對該項作業委外要求前後一致。

3、委外終止：供應商契約終止時，企業則應確保供應商依約完成產品或服務之移轉、交付與驗收，並監督其完成資訊資產、資料、與存取權限等返還、移交、刪除或銷毀。

管理供應商時，企業應考量依據供應商服務之類型與型式進行風險評估，分析供應商對企業資訊安全所帶來之風險及衝擊，以擬定對應管理制度與技術防護對應措施，並從政策、人員與技術三面向建立資訊安全管理機制，以建立全面之管理機制：

1、政策面：建立供應商管理程序規範，確保企業在整個供應商管理生命週期具有統一流程與標準，並定義供應商應配合遵循事項，如：營運持續、法令法規遵循、稽核權等。

2、人員面：針對供應商人員進行企業資訊安全教育訓練，履行權責分工、權限存取管控、門禁管理，以落實資安政策要求。

3、技術面：導入資安管控技術，強化資通安全防護及管理機制，針對企業之資訊系統與網路環境，建立功能與權限區隔、系統安全性要求測試、弱點掃描及滲透測試、防毒軟體、防火牆及入侵偵測系統等資安防護控制措施，以建構完備的資通環境。

隨著供應鏈安全的重要性的提升，企業應將供應鏈管理納入其資訊安全框架中，以對內及對外一致化之制度持續精進管理策略，在創新技術導入的同時，與供應商協同合作建立安全的服務生態系，使企業得以於快速變化與風險環境下維持高度韌性與安全性。