先前我們談到「華碩相機原始碼外洩事件」,同時列出了許多可供企業參考的ISO 27001風險控制措施,其中更包括供應商資訊安全管理的選項。
客觀來說,公務機關對於供應商管理方式,實際上是比多數企業要嚴謹許多。在國家資通安全研究院提供的「共通規範」中,包括「政府資訊作業委外資安參考指引」可供參用(參考來源:https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/)
此指引中鼓勵甚至要求公務機關應該從委外前、中、後的需求及各階段風險,去做好風險規劃與管理,避免過程中有遺漏疏忽而造成自身的資安漏洞。這就顯示,公務機關在委外管理程序上,相對有比較明確的要求。
委外的前中後,可以分幾個階段來看:
1.委外前:進行委外需求安全評估。要識別委外的項目屬性,例如硬體採購案,主要是對硬體規格安全、組態配置與維護。又例如系統開發案,是針對軟體功能與漏洞修補進行管控。委外屬性不同就會產生不同安全的要求,委外初期就應該評估委外過程可能會具備的風險。(可參考ISO 27001:2022 A.5.19供應者關係中之資訊安全)
2.委外過程:通常就是根據合約或工作協議來監督,確認供應商有依照合約或工作計畫執行相關的風險管理活動(參考A.5.21管理ICT供應鍊中之資訊安全),並在委外過程中配合組織進行必要的稽核活動,也就是「二方稽核」,目的是確保委外過程中的資訊安全相關措施能符合委託方的期待,例如參與專案人員,可能需要具備一定程度的資安訓練與認知,且能遵守委託方的資安政策要求。
3.委外結束:重點在於資訊的返還。受託方難免於委外過程中蒐集必要的資訊作為專案內的使用,當受託責任結束後,就有必要返還或刪除不該保留的資訊,這也是委託方要與受託方確認的項目之一。
雖然企業未必依照公務機關的規範落實委外管理,但如果以安全合規的條件而論,公部門的規定通常是最完善的,當然也可以說是被法規約束而必須執行,譬如,在採購資通訊(ICT) 設備就必須謹守「各機關對危害國家資通安全產品限制使用原則」,不得採購中國製品牌的相關設備,以免可疑的後門置入在硬體中。
委外是一種共享責任關係,從合約簽訂到執行相關委外活動,最終到委外結束時,委託方與受託方彼此都要有資訊安全的觀念,才不至於在過程中或專案結束後產生資料外洩或其他資安事件。
作者:潘柏廷 Conrad Pan
現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長領域為資安、個資、人工智慧
