2、平安集團：第三方供應商信息安全風險管理實踐（15頁）.pdf

1、2016年Gartner報告指出:59%的信息泄露是由于第三方供應商導致的，全球財富500強中75%的企業將供應商風險提升至董事會層面。2018年波耐蒙研究所(Ponemon Institute)研究指出：在英國和美國約有60%的公司表示他們通過第三方遭受了數據泄露，且其中只有35%的企業認為自己有行之有效的第三方風險管理計劃。01與企業合作的供應商有能力保護相關隱私安全嗎？02董事與高管在網絡安全監督方面責任/難度越來越大每當出現高度曝光的數據泄露事件時，往往伴隨的是相應上市企業股價的斷崖式下跌及重大聲譽危機，如今管理網絡風險已成為企業董事和高管最大監督挑戰之一，甚至已經成為他們的個人風險。

2、為了更好的理解企業安全風險現狀，董事會在不斷的要求增加安全高管的匯報頻度，但在Bay Dynamics 的一項覆蓋125位活躍董事會高管調查結論指出，81%的受訪安全高管認為頻繁的安全匯報分散了大量工作精力，71%的董事會成員認為安全風險匯報過于技術化，難以理解。背景問題Back GroundASEASEC C供應鏈信息安全問題再次增加了信息安全治理的廣度和難度美國零售巨頭TARGET黑客通過其空調供應商黑客通過其空調供應商HVACHVAC的遠程維護的遠程維護系統入侵到系統入侵到TARGETTARGET的內部網絡，導致近的內部網絡，導致近1 1億用戶數據泄露億用戶數據泄露電動汽車獨角獸特斯拉黑

3、客入侵了其工業自動化供應商黑客入侵了其工業自動化供應商level onelevel one的的數據庫，導致近數據庫，導致近157GB157GB的藍圖、工廠原理圖、的藍圖、工廠原理圖、客戶資料（合同、發票、工作計劃等）泄露客戶資料（合同、發票、工作計劃等）泄露國內智能手機制造商黑客通過入侵其物流供應商系統黑客通過入侵其物流供應商系統竊取相關數十萬用戶訂單數據竊取相關數十萬用戶訂單數據國內金融保險企業因其供應商因其供應商*健康科技的網站存在漏洞，泄健康科技的網站存在漏洞，泄露數十萬條保險用戶的險種、手機號、身份露數十萬條保險用戶的險種、手機號、身份證號、密碼信息證號、密碼信息供應商風險評估的普遍缺

4、位營銷獲客ITOBPO業務收益業務風險物流代發工資制卡商旅電話客服提升非核心業務能力效率企業資源聚焦核心業務安全聲譽風險、安全合規風險、人員操作風險提升業務運營指標借助第三方在技術領域能力知識快速滿足業務需求技術安全質量風險人員操作風險數據隱私泄露、濫用風險安全聲譽風險引入供應商需要平衡業務收益與潛在風險，但往往風險評估是缺位或不詳盡的營銷短信CPS、CPA廣告電話銷售外包軟件開發機房托管IT運維托管持續監控力度不足年度檢查、抽檢等方式監控顆粒度不足，信息安全態勢瞬息萬變，容易遺漏前后改進效果不清晰對發現的問題跟蹤整改后，缺乏評估整改前后的效果量化評估，對供應商的安全能力缺乏整體認知評估方式不

5、夠自動化傳統評估依賴人工審查，審查常因人力資源問題無法全面覆蓋，缺乏自動化的方式提升評估效率供應商現狀了解不足僅憑供應商安全資質無法正確體現信息安全能力真實水平，資質代理嚴謹程度不一，安全資質僅為投標加分而拿01020304供應商風險評估的現狀與挑戰-通過平臺自動化對供應商進行安全評估，1-2周內拿到評估結果和報告-對發現高風險的供應商要求進行風險說明或拒絕合作374/1000715/1000采購入圍398/1000高風險拒絕準入709/1000低風險準入418/1000649/1000風險監控感知觸發審計要求風險說明在供應商入圍階段啟動信息安全評估611/1000對合作供應商信息安全的持續監

6、控-對已合作供應商的持續安全態勢監控，一旦發現新增風險，向業務合作方披露風險并觸發下一步的安全審計要求進行風險說明平安供應商風險評估平臺安全級別：普通SRS security rating services信息安全量化服務風險事件 incidents企業數據泄露、黑客攻擊、嚴重漏洞、員工瀆職新聞事件負面輿情信息安全負面輿情與信息資產關聯的威脅情報，來自公開、商業、威脅情報聯盟的情報信息威脅情報與缺陷掃描網絡空間內公開可發現的信息資產信息采集整理，對相關資產缺陷進行掃描監控網絡空間測繪缺陷掃描 evaluation端到端的供應商內部安全控制評估問卷，基于等保、ISO27001、行業監管框架設計安

7、全控制評估問卷問卷評估 questionnaire安全資質 certification企業基本工商注冊信息(自動化)企業上下游關聯公司關系企業信息安全資質企業基本信息自動化收集企業信息安全水平相關信息，通過安全大數據對企業信息安全水平進行量化評價自動化收集的企業信息安全情報通過在線問卷收集的安全控制信息實時采集分析平均2周內即可完成的問卷每日更新的企業安全評分709/1000平安供應商風險評估平臺企業名稱官網發現官網發現子域名發現子域名發現IPIP發現發現應用發現應用發現SEOSEO官網官網內容挖掘內容挖掘ASNASN網段發現網段發現nslookupnslookupnslookupnslook

8、up應用市場挖掘應用市場挖掘應用代碼掃描應用代碼掃描ICPICP域名備案查詢域名備案查詢IPIP DNSDNS反查反查威脅情報缺陷掃描信息安全輿情App/web App/web assessmentassessmentIPIP信譽情報信譽情報企業安全聲譽供應商企業IT資產自動探索發現IT資產持續自動化評估億級威脅情報庫日均更新數百萬覆蓋數十萬境內外網媒日均審查新增數千萬篇近百類安全配置缺陷檢測數百類漏洞檢測(僅授權下進行)持續維護增加供應商資產圖譜的自動探索與評估100+安全相關法規600+安全評估問題新法規持續解讀、錄入集團安全管理采購、業務、信息安全通過供應商風險評估平臺的行業評估問卷模板

9、篩選與供應商企業匹配的安全評估問卷電子問卷以郵件發送給供應商企業回答平均兩周內完成問卷BPO企業模板精準營銷企業模板問卷答復結果反饋計入評分供應商安全控制能力的自動化問卷審查國際法規ISO/IEC 27001：2013 信息技術 安全ISO/IEC 27000：2016 信息技術 安全ISO 22301：2012 公共安全PII(個人隱私)云計算個人信息去標識化指南電信和互聯網用戶個人信息保護規定個人資料(私隱)條例CSA云計算安全技術要求-PaaS安 CSA云計算安全技術要求-SaaS CSA云計算安全技術要求-Ia安全幾何信息安全法律規范知識庫監管政策手冊-TM-G-2-降低及紓減與互聯網

10、交易香港內地國家網絡安全事件應信息安全等級保護管理中華人民共和國網絡安全法金融非銀行支付機構信息科技銀行業金融機構重要信保險機構內部審計工保險公司信息系統安全管證券期貨業信息安全事證券公司集中交易安全保險證券地區法規行業監管法規01安全評估概覽展示自身企業的安全評分與趨勢，影響評分評級的目前首要問題02供應商風險管理展示錄入合作供應商，并展示合作供應商目前的風險態勢03自動化生產安全報告展示錄入合作供應商，并展示合作供應商目前的風險態勢安全幾何平安合作方安全體檢采購準入投資并購供應商風險管理平臺現場審計在線審計供應商風險評估平臺整體方向自有威脅情報威脅情報聯盟商采開源威脅情報威脅情報網絡空間資產發現與描述資產屬主自動化發現維護網絡空間測繪行業、地區安全法規法規控制項、控制問題、控制框架合規知識庫資產安全配置缺陷、漏洞自動化審計缺陷、漏洞與合規檢查項的關聯關系自動化缺陷審計自動化生成的安全評分詳細闡述報告，幫助進行安全匯報與確定安全投資決策安全研判報告標準化安全評分評級，在同行間橫向比較自身水平安全評分評級