您的供應鏈是您面臨的最大網路安全風險——但 NIST CSF 2.0 可協助您加以管理
伴隨供應商而來的風險
若詢問多數 ESG 專業人士關於供應鏈風險,他們會描述一個已相當成熟的實踐領域:供應商盡職調查問卷、負責任採購政策、稽核計畫、人權評估以及環境影響評估。但若詢問這些專業人士關於供應鏈網路風險,他們的回應往往就沒那麼篤定。然而,對多數組織而言,供應鏈正是其最重大的網路安全風險所在——而且這些風險正不斷擴大。
原因在於結構性因素。現代組織並非孤立運作。它們與數百甚至數千家第三方——包括軟體供應商、雲端服務供應商、物流合作夥伴、專業服務公司、分包商以及這些供應商的供應商——共享數據、系統和數位基礎設施。 每項連結都可能成為網路安全事件的潛在入侵點。當攻擊者直接鎖定防禦嚴密的組織時,往往會失敗;但當他們鎖定那些規模較小、防禦較弱、卻能存取該組織系統的供應商時,卻往往能得逞。
NIST CSF 2.0 明確承認了這一現實。在該框架的歷史上,供應鏈風險管理首次被提升為「治理」功能下的獨立類別——不再被埋沒於技術附錄之中,而是置於治理框架的核心位置。這是一個值得從事供應鏈盡職調查的 ESG 專業人士嚴肅看待的訊號。
CSF 2.0 對供應鏈有何要求
CSF 2.0 的「治理」功能中,「網路安全供應鏈風險管理」類別闡述了一套全面的成果指標,說明組織應如何處理第三方網路風險。了解這些成果指標,有助於 ESG 專業人士釐清其現有的供應鏈盡職調查實務如何與網路安全要求相銜接,並找出其中的缺口。
該框架要求建立網路供應鏈風險管理機制,並將其以文件形式記錄下來,同時整合至組織的整體風險管理方法中。這並非一項獨立的資訊科技工作,而是一項治理要求,應體現在採購政策、供應商入駐流程及持續性的第三方管理計畫中——這正是 ESG 供應鏈團隊現已負責管理的基礎架構。
這要求根據供應商及其他第三方所扮演角色的關鍵性及其所代表的風險,對其進行識別並排序。對於習慣依據支出、地理位置、產業類別或人權風險來對供應商進行分級的 ESG 專業人士而言,這是一種將熟悉的方法論應用於全新風險維度的做法。相較於與貴公司營運無數位連結的周邊供應商,那些能深度存取貴公司系統的關鍵技術供應商,理應接受更深入的網路風險評估。
該規定要求與供應商簽訂的合約及協議須包含網路安全要求——包括供應商必須達到的最低標準、發生網路安全事件時的通報義務、進行稽核的權利,以及管理自身供應鏈風險的義務。這與負責任採購計畫在勞動標準或環境合規方面對供應商所施加的合約要求完全相同。
供應鏈網路安全盡職調查並非與 ESG 供應鏈盡職調查截然不同的實踐。兩者實屬同一領域——即評估、管理及監控第三方風險——只是將此方法應用於當前對多數組織而言已屬重大之風險類別。
供應鏈中的 ESG 與網路安全關聯
對 ESG 專業人士而言,實務上的啟示在於:供應鏈中的網路安全風險與其他 ESG 風險,其實面臨著相同的根本挑戰:您無法直接觀察供應商營運內部發生的情況。您必須仰賴自我評估、第三方稽核、認證以及合約承諾,才能確信相關風險正受到妥善管理。ESG 供應鏈計畫用於管理環境與社會風險的工具,同樣可以加以調整並延伸應用,以應對網路安全風險。
供應商問卷可包含與 CSF 2.0 六大功能相符的網路安全相關問題。 供應商是否具備書面化的網路安全政策與治理流程?是否維護資產清單及第三方依賴關係?是否擁有經過測試的事件應變程序?是否持有 ISO 27001 等公認的網路安全認證?這些問題在技術層面的要求,並不比 ESG 供應商評估中常包含的環境管理問題更高——且能提供有關供應商網路風險態勢的實質資訊。
供應商分級與風險分級——這項 ESG 供應鏈管理的標準做法——可直接應用於網路風險管理。對於能夠接觸敏感資料、關鍵系統或營運技術的供應商,應進行更深入的評估,並制定更具體的合約保障措施。至於與貴組織沒有數位整合的供應商,其網路風險較低,可透過較為簡化的流程進行管理。
事件通報與應變
供應鏈網路風險中,ESG 專業人士可能尚未考慮到的其中一個面向,便是事件通報要求。若供應商遭遇網路安全事件——例如資料外洩、勒索軟體攻擊或系統遭入侵——即使貴組織的系統未直接受到影響,仍可能為貴組織帶來風險或法律責任。該風險究竟屬於財務、法規或聲譽層面,則取決於涉及資料的性質及現有的合約安排。
在供應鏈情境下應用 CSF 2.0 的「回應」功能,要求企業必須建立明確的流程,用以接收並處理來自供應商的事件通知——同時,供應商亦須根據合約規定及時提供此類通知。對於負責利害關係人溝通與資訊揭露的 ESG 專業人員而言,任何觸發向監管機構或客戶通知義務的供應商事件,皆屬治理事件,其管理應與處理其他重大事件同樣嚴謹。
將其融入您的現有實務中
對 ESG 專業人士而言,好消息在於供應鏈網路風險管理的基礎架構無需從頭開始建置。它可建立在現有供應鏈盡職調查實務的基礎上,具體做法包括:在現有評估工具中加入網路安全標準、將網路安全要求納入現有供應商合約,以及將網路安全風險整合至現有的供應商風險分級與監控流程中。
NIST CSF 2.0 提供了一個框架,用以定義應採用哪些網路安全標準。其「治理」功能的供應鏈類別設定了治理方面的期望。其「識別」、「保護」、「偵測」、「應對」及「復原」功能則提供了可轉化為供應商評估問題及合約要求的運作標準。
將網路風險納入 ESG 供應鏈盡職調查的企業,將獲得更完善的保障、掌握更充分的資訊,並能更有效地向投資者、監管機構及客戶展示其治理品質——這些群體正日益關注並提出這類問題。
重點摘要:CSF 2.0 將供應鏈網路安全風險提升為治理層級的優先事項。ESG 供應鏈專業人士可運用現有的盡職調查架構——包括分級、問卷調查、合約及稽核——來應對此挑戰,並在既有作業中加入網路安全標準。