美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 日前發(fā)布了新指南，供政府和私人組織在尋求將服務(wù)外包給托管服務(wù)提供商 （MSP） 時(shí)加以考慮。為了幫助組織做出信息技術(shù)（IT）服務(wù)決策，國土安全部（DHS）下屬網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的國家風(fēng)險(xiǎn)管理中心（NRMC）為被管理服務(wù)提供商客戶開發(fā)了一套風(fēng)險(xiǎn)考慮。該框架匯編來自CISA、IT和通信行業(yè)合作伙伴的信息，為組織提供資源，以便在確定滿足其獨(dú)特需求的最佳解決方案時(shí)做出風(fēng)險(xiǎn)決策。

　　CISA發(fā)布的新指南名為“托管服務(wù)提供商客戶的風(fēng)險(xiǎn)注意事項(xiàng)”，針對(duì)三個(gè)決策群體：高級(jí)管理人員和董事會(huì)、采購專業(yè)人員、網(wǎng)絡(luò)/系統(tǒng)管理員和一線網(wǎng)絡(luò)安全人員。

　　該文檔包括來自各種權(quán)威機(jī)構(gòu)（例如美國國家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST））的最佳實(shí)踐和注意事項(xiàng)，供組織審查其安全實(shí)踐并確保他們準(zhǔn)備好防止網(wǎng)絡(luò)攻擊。

　　CISA 解釋說，高管有其風(fēng)險(xiǎn)管理職責(zé)，并應(yīng)保持對(duì)其組織內(nèi)使用的系統(tǒng)和技術(shù)的認(rèn)識(shí)。他們還應(yīng)該了解與系統(tǒng)、數(shù)據(jù)、生產(chǎn)力和客戶信心損失相關(guān)的風(fēng)險(xiǎn)，以及與罰款和監(jiān)管成本相關(guān)的成本。

　　高管以及參與采購的員工應(yīng)針對(duì)企業(yè)風(fēng)險(xiǎn)分析外包的好處，并應(yīng)確保在出現(xiàn)可能影響運(yùn)營和影響客戶的故障或事故時(shí)，客戶和供應(yīng)商共同承擔(dān)責(zé)任。

　　“為了最大限度地減少外包 IT 服務(wù)時(shí)的此類中斷，組織可以使用責(zé)任共擔(dān)模型在供應(yīng)商協(xié)議中定義角色和責(zé)任，該模型闡明了供應(yīng)商的責(zé)任、客戶的責(zé)任以及雙方共同承擔(dān)的任何責(zé)任，”CISA的指南中指出。

　　組織應(yīng)制定企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃，以考慮與使用 MSP 提供的 IT 服務(wù)相關(guān)的潛在風(fēng)險(xiǎn)?？赡軣o法實(shí)施此類計(jì)劃的中小型企業(yè) （SMB） 仍應(yīng)對(duì)關(guān)鍵資產(chǎn)進(jìn)行分類并評(píng)估這些資產(chǎn)的風(fēng)險(xiǎn)，并優(yōu)先考慮將其納入供應(yīng)商協(xié)議并針對(duì)影響它們的事件制定應(yīng)急計(jì)劃。

　　CISA 說，需求管理流程應(yīng)該跨職能領(lǐng)域進(jìn)行協(xié)調(diào)，以確保性能、可靠性和安全性。CISA 指出，擔(dān)任采購角色的個(gè)人應(yīng)創(chuàng)建并維護(hù)一份要求清單，其中應(yīng)包括“對(duì)安全性、運(yùn)營連續(xù)性和其他核心業(yè)務(wù)功能的考慮”。組織應(yīng)根據(jù)這些要求審查潛在的MSP。

　　該機(jī)構(gòu)還建議組織在簽署協(xié)議之前向MSP提出具體要求，其中包括確認(rèn)簽署MSP的個(gè)人負(fù)責(zé)服務(wù)的安全、事件管理和補(bǔ)救能力的詳細(xì)信息，并解釋不同客戶的數(shù)據(jù)在MSP網(wǎng)絡(luò)上是如何分離的。

　　負(fù)責(zé)監(jiān)控和管理MSP活動(dòng)的員工應(yīng)制定任何第三方供應(yīng)商享有的訪問級(jí)別策略，并鼓勵(lì)組織不斷重新評(píng)估訪問要求。在可能的情況下，應(yīng)在簽訂合同之前定義特權(quán)和訪問級(jí)別，以確保供應(yīng)商能夠滿足服務(wù)要求。對(duì)網(wǎng)絡(luò)管理員、系統(tǒng)管理員和網(wǎng)絡(luò)防御者的建議中，特別強(qiáng)調(diào)了組織的網(wǎng)絡(luò)要運(yùn)用零信任模型的原則。

　　此外，建議組織維護(hù)重要記錄和網(wǎng)絡(luò)日志的異地備份，以幫助在MSP發(fā)生事故時(shí)進(jìn)行恢復(fù)并驗(yàn)證供應(yīng)商活動(dòng)。根據(jù) NIST 的建議，企業(yè)應(yīng)在其事件響應(yīng)計(jì)劃中包括MSP等供應(yīng)商，并應(yīng)定期更新這些計(jì)劃。

　　“NIST 還建議組織和供應(yīng)商為漏洞披露、事件通知以及在事件期間與任何外部利益相關(guān)者的溝通建立明確的協(xié)議。組織和供應(yīng)商還應(yīng)為客戶網(wǎng)絡(luò)上的威脅搜尋和事件響應(yīng)程序建立明確的授權(quán)協(xié)議，”CISA 指出。

　　將IT服務(wù)外包給MSP的SMB，尋求提高效率和節(jié)省成本，應(yīng)保持對(duì)其系統(tǒng)訪問的完全控制，應(yīng)了解供應(yīng)商訪問，并應(yīng)保留網(wǎng)絡(luò)日志以及所有關(guān)鍵數(shù)據(jù)的異地備份，指南中強(qiáng)調(diào)。