委外風險評估與供應鏈管理策略

隨著全球化與疫情時代網路發展推進，企業營運趨勢更加傾向緊密結構之資訊供應鏈發展，資訊供應鏈發展具有資源分享、互補、交易成本降低、專業核心能力等優勢，卻也可能為企業帶來更多資安風險與不確定性。包含基於政治考量而受到網軍攻擊之通訊、能源之基礎建設，到以金錢勒索為目的而遭鎖定之高科技製造業與金融產業等，都可能因供應鏈安全事件而帶來資安風險。惡意攻擊者利用資安防護相對不足之供應鏈廠商作為跳板，從側翼入侵之手法突破主要攻擊對象的資安防護，諸如已發生的SolarWinds、Kaseya與Log4j等事件，這些重大供應鏈資安事件，都為供應鏈資訊安全管理敲響警鐘。

除了合規之外更應重視風險控管

近年全球各國普遍提倡供應鏈安全管理之議題，我國主管機關亦推動企業對於供應鏈資訊安全之重視，陸續於《資通安全管理法》、《個人資料保護法》、《政府資訊委外資安參考指引》、《上市上櫃公司資通安全管控指引》與《金融資安行動方案》中要求企業應重視作業委外時之資訊安全與隱私保護之要求。勤業眾信建議企業除遵循法規要求落實供應鏈資訊安全外，面對全球委外新趨勢專業分工精緻化，亦需考量接軌國際供應商之安全管控要求與國際標準，如：美國國家標準技術研究所「網路安全供應鏈風險管理最佳實務」(NIST Special Publication 800-161)及英國國家網路安全中心「供應鏈安全指引」(NCSC Supply Chain Security Guidance)等規範，確保以一致性之標準衡量企業與供應鏈間資安成熟度，避免管控差異形成資安風險。

企業供應鏈管理策略應從供應商管理生命週期著手

為妥善管理供應商之風險，應從委外前、供應商選商規劃、供應商契約管理、供應商服務期間之管理，乃至供應商契約終止進行完整週期循環。

1. 委外前：在作業委外前，企業應針對擬委外之項目執行分析，評估是否適合將作業委外，包含分析委外項目之資訊安全風險與可行性，由內而外評估委外之適切性，並依據評估之結果執行選商、契約要求，並考量該項作業委外需求之資訊安全要求與限制。
2. 委外期間：在作業委外契約存續期間，企業應持續監督及管理委外風險，包含服務期間的服務水準與安全控制之要求，以確保與企業對該項作業委外要求前後一致。
3. 委外終止：供應商契約終止時，企業則應確保供應商依約完成產品或服務之移轉、交付與驗收，並監督其完成資訊資產、資料、與存取權限等返還、移交、刪除或銷毀。

從三大面向建立供應商資訊安全管理機制

管理供應商時，企業應考量依據供應商服務之類型與型式進行風險評估，分析供應商對企業資訊安全所帶來之風險及衝擊，以擬定對應管理制度與技術防護對應措施，並從政策、人員與技術三面向建立資訊安全管理機制，以建立全面之管理機制：

1. 政策面：建立供應商管理程序規範，確保企業在整個供應商管理生命週期具有統一流程與標準，並定義供應商應配合遵循事項，如：營運持續、法令法規遵循、稽核權等。
2. 人員面：針對供應商人員進行企業資訊安全教育訓練，履行權責分工、權限存取管控、門禁管理，以落實資安政策要求。
3. 技術面：導入資安管控技術，強化資通安全防護及管理機制，針對企業之資訊系統與網路環境，建立功能與權限區隔、系統安全性要求測試、弱點掃描及滲透測試、防毒軟體、防火牆及入侵偵測系統等資安防護控制措施，以建構完備的資通環境。

隨著供應鏈安全的重要性的提升，企業應將供應鏈管理納入其資訊安全框架中，以對內及對外一致化之制度持續精進管理策略，在創新技術導入的同時，與供應商協同合作建立安全的服務生態系，使企業得以於快速變化與風險環境下維持高度韌性與安全性。