英國國家網際安全中心(National Cyber Security Centre, NCSC)於2022年10月12日發布「襄助組織有效評估且提升信心於供應鏈網際安全之指導方針(new guidance to help organisations effectively assess and gain confidence in the cyber security of their supply chains)」,概述可能使供應鏈受到攻擊的典型供應商關係及潛在弱點,並說明預期結果及有助於組織評估其供應鏈安全性的關鍵步驟,協助大型及中型組織有效評估與供應商合作的網際風險,以確保採取完善的緩解措施。
NCSC建議組織與供應商協力找出網際弱點及提高韌性。近年來供應鏈漏洞導致的網際攻擊顯著增加,包括備受矚目的SolarWinds資安事件。供應鏈攻擊可能造成深遠影響,且網路中斷帶來高額損失,然英國只有十分之一以上的企業會檢視其直接供應商帶來的風險(13%),而僅有7%的企業會檢視供應鏈風險。
「襄助組織有效評估且提升信心於供應鏈網際安全之指導方針」的5個階段關鍵步驟概述如下:
步驟1:了解組織為何應關心供應鏈網際安全及如何進行風險評估,並安排適合的人員推動供應鏈網際安全。
步驟2:確認組織中需要受保護的關鍵點,並制定評估供應鏈網際安全的應用方法。
步驟3:從決策到外包、供應商選擇、契約授權、供應商交付至契約結束,於契約生效期間考量網際安全要素,並提供同樣的應用方法予新的供應商。
步驟4:將應用方法整合至現有的供應商契約中,針對契約進行風險評估及審查契約條款。
(第3及第4步驟的最後階段皆為監控供應商的安全績效,並向董事會報告進展。)
步驟5:持續改進;對變化多端的網際威脅有所認識,利用專業知識持續更新供應鏈網際安全,並與供應商保持合作。