摘要
在数字化转型的浪潮中,企业IT建设日益依赖外部产品与服务,这在提升效率与创新的同时,也引入了复杂的安全挑战,特别是第三方软硬件产品和服务带来的潜在风险。本文旨在系统性梳理在独立部署设备、本地化部署软件及SaaS云服务等不同IT采购模式下企业面临的主要安全风险,并基于此提出一个覆盖产品选型、采购、上线、运维至下线的全生命周期安全风险体系化治理机制。该机制强调风险驱动、全程覆盖、责任明确和持续改进的原则,整合了投标阶段的安全准入、合同阶段的安全责任固化以及执行阶段的持续监控与事件响应追责,期望为企业安全主管部门和信息化技术部门在IT采购过程中有效管控安全风险提供具有实践价值的指导和参考。
关键词
IT采购安全;第三方风险;全生命周期治理;风险评估;软件供应链安全;SaaS安全
1. 引言
1.1 数字化时代企业IT建设模式的多样性与安全挑战
随着信息技术的飞速发展和市场竞争的加剧,企业IT建设模式正经历深刻变革。传统的完全自建模式逐渐被更为灵活和高效的方式所补充或取代,企业越来越倾向于通过委托开发、采购成熟的商业软硬件产品以及采用软件即服务(SaaS)等云服务模式来快速构建和迭代其IT能力。这种转变无疑为企业带来了业务敏捷性的提升、成本效益的优化以及创新能力的增强。然而,这种对外部产品和服务的广泛依赖,使得企业的安全边界日益模糊,供应链安全和第三方依赖风险显著增加。
这种IT建设模式的演变,实际上反映了更广泛的经济趋势,即企业倾向于利用外部专业能力以聚焦核心业务。这种转变要求企业的安全范式也随之进化。传统的以防御内部网络边界为核心的安全策略,在面对由第三方引入的、可能绕过传统边界控制的风险时显得力不从心。因此,企业亟需建立一种更为分布式、基于“信任但验证”原则的第三方风险管理(TPRM)体系,以应对这些“输入性”风险。整个IT采购安全评估的过程,本质上就是这种新安全范式在实践层面的体现。
1.2 第三方软硬件产品采购中全生命周期安全风险评估与治理的必要性
安全风险并非仅存在于IT产品交付的某个单一节点,而是贯穿其整个生命周期——从最初的需求分析、供应商选型、产品采购、集成上线、日常运维、更新迭代,直至最终的下线和数据处置。任何阶段的安全疏忽都可能为企业埋下隐患。因此,孤立的、一次性的安全评估,例如仅在采购前进行测试,远不足以应对持续演变的安全威胁和产品生命周期中可能出现的新问题。
全面的IT采购安全评估需要系统的做好准入评估、上线检测、运营监控、应急响应、溯源审计、定损追责的全生命周期的安全管理工作。这六个关键阶段构成了全生命周期安全管理的核心框架。未能有效管理任一阶段的安全,都可能使其他阶段的努力付诸东流。例如,一个在“准入评估”阶段被认为是安全的产品,如果在“上线检测”阶段配置不当,或在“运营监控”阶段未能及时发现和处理新出现的漏洞,依然可能成为严重的安全缺口。这表明安全是一个环环相扣的链条,任何一个薄弱环节都可能导致整个链条的断裂,从而凸显了系统化、持续性安全管理的极端重要性。
1.3 本文目标与核心内容概述
本文旨在为数字化企业在IT采购过程中面临的安全挑战提供一套系统性的解决方案。基于现有实践材料,本文将首先体系化地梳理在独立部署的设备与软硬一体设备、本地化部署的软件以及SaaS云服务这三种典型IT采购模式下,企业可能遭遇的主要安全风险域。随后,将详细阐述一个覆盖投标阶段、合同阶段和执行阶段的全生命周期安全风险治理方案。该方案不仅关注技术层面的风险评估与控制,也强调管理流程、合同约束和责任追究机制的建立,力求为企业安全主管部门和信息化技术部门在复杂的IT采购环境中识别、评估、控制和减轻安全风险提供具体、可操作的指引和参考。
2. IT采购模式及其安全考量
数字化企业IT建设存在自建与委托开发、采购标准软硬件/服务等多种模式。不同模式下的安全控制边界、管理责任及面临的风险类型存在显著差异。
不同的IT建设模式引入了独特的安全边界、控制权和责任分布,从而带来特定的安全风险考量:
- 自建模式: 虽然企业对整个过程拥有最高控制权,但风险主要集中在内部能力(如开发安全实践、安全测试覆盖度、内部人员安全意识)和技术债务管理。其风险特性是内部风险为主。
- 委托开发模式: 企业将开发活动委托给第三方。核心风险在于过程不可控和信息不对称。风险源涉及供应商的开发安全实践、知识产权风险、供应链透明度、交付物安全验收困难等。企业需关注需求传递、开发过程监管和交付物安全验证。
- 采购标准软硬件/服务(含SaaS): 直接获取成熟产品或订阅服务。核心风险在于对第三方产品/服务安全能力和供应商持续安全管理能力的依赖。风险源涵盖产品自身的设计缺陷、漏洞、合规性、供应商的基础设施安全(特别是SaaS)、供应链完整性,以及与企业自身环境的集成风险。企业需重点关注供应商评估、产品安全测试和持续服务安全监控。
本文后续将主要围绕委托开发及第三方采购这两种模式,详细分析其在产品/服务生命周期各阶段的风险。
3. 软硬件产品全生命周期安全风险详析
软硬件产品和服务从概念提出到最终退役,经历多个阶段。各阶段均可能引入和暴露安全风险。本节将基于产品/服务生命周期,结合不同采购模式的特点,分析关键安全风险点:
图示:IT采购全生命周期风险模型图,直观展示了IT采购从规划到废弃各阶段潜在的安全风险点。
3.1 规划与需求分析阶段
此阶段是整个生命周期安全的基础。安全风险主要源于对安全考量的不足或遗漏。
- 关键安全风险点: 安全需求缺失或不明确、合规性要求遗漏、未识别潜在第三方引入风险。
- 缓解策略与控制要点: 要求业务、IT和安全部门共同参与需求分析,制定详细的安全需求说明书;在需求阶段即识别并记录适用的法律法规和合规性要求;对潜在的采购模式进行初步风险评估。
3.2 设计与选型阶段
此阶段决定了产品/服务的安全架构和核心安全能力,以及合作供应商的安全水平。风险源于设计缺陷和供应商评估不足。
- 关键安全风险点: 不安全的设计模式、技术选型引入已知风险组件、供应商安全能力评估不足、供应链环节风险未识别、委托开发特有风险(如引入后门)。
- 缓解策略与控制要点: 进行安全架构评审;对关键技术选型进行安全评估;建立供应商安全评估流程,通过问卷、访谈、现场审计等方式全面评估供应商的安全能力;在选型标准中纳入对供应链透明度的要求;委托开发时需企业安全人员深度参与设计评审。
3.3 合同与采购阶段
此阶段将安全要求转化为具有法律约束力的条款。风险源于合同条款的缺失或不明确。
- 关键安全风险点: 安全责任约定不清;数据安全和隐私条款缺失;服务水平协议(SLA)未包含安全指标;违约责任和赔偿机制不足;知识产权与代码托管风险(委托开发)。
- 缓解策略与控制要点: 将详细的安全要求和供应商承诺作为合同附件;制定标准化的安全合同条款;明确漏洞修复和事件响应的SLA;委托开发合同应明确源代码的归属和安全托管方式;要求法务和安全部门共同评审合同草案。
3.4 开发、集成与测试阶段
此阶段将设计转化为实际产品,并将第三方产品融入企业现有环境。风险源于开发过程不安全、产品本身漏洞和集成缺陷。
- 关键安全风险点: 不安全开发实践(委托开发/本地软件);第三方组件漏洞(软件供应链风险);恶意代码植入;集成接口安全问题;安全测试不充分;测试结果未闭环。
- 缓解策略与控制要点: 委托开发时要求供应商遵循安全开发生命周期(SDL);要求供应商提供软件物料清单(SBOM);进行全面的黑盒和白盒安全测试;对所有安全漏洞进行追踪管理,要求供应商修复并回归测试验证;设计集成接口的安全规范。
3.5 部署与上线阶段
此阶段将产品/服务从开发测试环境迁移至生产环境。风险源于配置错误和环境不足。
- 关键安全风险点: 不安全的配置;部署环境安全不足;补丁更新不及时;上线前安全检查遗漏;恶意固件/硬件篡改风险。
- 缓解策略与控制要点: 制定安全部署和配置基线;建立详细的上线前安全检查清单;进行全面的上线前漏洞扫描和渗透测试;验证产品/服务的默认安全配置;对于硬件设备,检查物理封签或进行硬件/固件完整性验证。
3.6 运维与监控阶段
此阶段是产品/服务生命周期最长的阶段,风险源于持续运营中的威胁演变和管理漏洞。
- 关键安全风险点: 漏洞管理不力;访问控制和权限管理不当;日志监控和安全审计不足;安全事件响应能力缺失;远程维护通道不安全;敏感数据处理和存储风险;云服务商基础设施安全风险(SaaS);员工访问行为失控(SaaS);合规性风险。
- 缓解策略与控制要点: 建立常态化的漏洞扫描和管理流程;实施最小权限原则,定期权限审计,对特权账号强制MFA;部署统一日志管理平台和SIEM;制定并定期演练安全事件应急响应预案;规范远程访问策略;确保敏感数据在传输和存储过程中的加密;定期评估SaaS提供商的安全合规状态;考虑部署CASB或利用ZTNA对员工访问SaaS的行为进行统一管控;建立合规性持续监控机制。
3.7 变更管理阶段
产品/服务的变更(包括功能更新、配置调整、补丁升级等)可能引入新的安全风险。
- 关键安全风险点: 变更引入新的漏洞或配置错误;变更绕过现有安全控制;未对变更进行充分安全评审和测试。
- 缓解策略与控制要点: 将安全评审集成到标准的变更管理流程中;对关键变更进行安全影响评估;对影响安全功能或可能引入风险的关键变更进行安全测试验证;确保变更方案包含回滚计划。
3.8 废弃与数据处置阶段
此阶段涉及产品/服务的退役和相关数据的处理。风险源于数据残留和权限遗留。
- 关键安全风险点: 敏感数据未彻底销毁;账号和权限未及时回收;废弃流程未考虑安全要求;供应商数据处理风险(SaaS)。
- 缓解策略与控制要点: 制定详细的安全退役和数据销毁策略;确保敏感数据使用符合标准的安全擦除方法或进行物理销毁;建立权限回收流程;对于SaaS服务退订,与供应商明确数据销毁和证明流程;对退役硬件进行彻底的数据擦除或物理销毁。
通过对IT采购及软硬件产品/服务全生命周期各阶段的安全风险进行详细分析,并结合不同建设模式的特点,本节为理解第三方引入的安全挑战提供了基础。这些风险点是构建后续治理机制、制定标准对应和检查清单的核心依据。
4. 中美IT安全标准体系映射与应用
全球IT安全标准体系日益完善,中美两国均建立了各自的标准和法规框架,为企业IT采购和生命周期安全提供了指导。它们在核心理念上存在共通之处,但在具体要求、侧重点和实施机制上有所不同。
4.1 核心领域标准对比
以下是中美两国在IT采购安全、软件开发生命周期安全、供应链安全、数据安全与隐私保护、风险评估与管理以及网络安全等级保护等核心领域的标准对比分析:
图示:中美IT安全标准对应关系示意图,展示了部分核心安全领域中美标准体系的概览性对应关系。
| 对比点 | 美国标准/实践 | 中国标准/实践 |
|---|---|---|
| 核心标准 | NIST SP 800系列 (如 800-161, 800-53, 800-30, 800-37), NIST CSF, ISO/IEC 27000系列 (如 27001, 27002, 27005, 27036, 27017, 27018), OWASP (SSDF, SAMM, API Security), CSA CCM | GB/T系列 (如 22239 等级保护, 20984 风险评估, 35273 个保规范, 36637 供应链安全, 39786 产品通用要求, 22080/22081 ISMS), 《网络安全法》、《数据安全法》、《个人信息保护法》 |
| 驱动力 | 技术指引,管理框架,市场成熟度,行政令/行业监管 (如金融、医疗) | 法律法规强制性,等级保护合规性,政策驱动 |
| 体系结构 | 以NIST为核心,广泛借鉴ISO、OWASP、CSA等,体系庞大、细分 | 以GB/T为核心,融合法律法规,等级保护为框架,逐步完善供应链/SDL标准体系 |
| 风险评估 | NIST SP 800-30提供方法论,SP 800-37强调RMF贯穿生命周期,ISO 27005支持ISMS风险管理 | GB/T 20984提供评估规范、流程与计算示例,强调贯穿生命周期,结合等级保护要求 |
| 安全控制 | NIST SP 800-53详尽全面,ISO 27002提供实践指南,强调基于风险选择和实施 | GB/T 22239等在等级保护框架下规定具体技术和管理要求,强调合规性与执行 |
| 数据隐私 | NIST SP 800-122 PII保护,NIST Privacy Framework,ISO 27018/27701云隐私保护 | 《数据安全法》《个人信息保护法》强制性极强,GB/T 35273提供详细技术和管理要求 |
| 供应链安全 | NIST SP 800-161核心指南,ISO 27036,EO 14028推动SBOM | GB/T 36637指南,GB/T 22239管理要求,强调等级保护下采购产品安全性管理与审计 |
| 软件开发安全 | NIST SP 800-218 (SSDF) 详细实践框架,OWASP SAMM | GB/T 22239、20984中体现,相关行业标准,逐步完善中,强调等级保护框架下控制 |
4.2 应用价值与实践建议
理解中美IT安全标准体系的对应与差异,对于在数字化企业IT建设和采购中做出明智决策具有重要的应用价值。
这些标准为企业在IT建设和采购的各个环节提供了清晰的指导,包括:IT产品选型(依据产品安全标准)、供应商评估(依据管理体系、供应链、开发实践标准)、合同条款制定(将标准要求写入合同)、安全测试与验收(依据测试方法和验收标准)、日常运维与监控(依据运维和监控标准)、数据安全与隐私保护(依据相关法律法规和标准)。
企业应结合自身的业务特点、所处行业、信息系统的重要程度以及面临的法律合规要求,借鉴中美标准构建和优化IT采购安全治理体系:
- 立足合规基石: 首先严格遵循中国的法律法规和等级保护制度(GB/T 22239等),这是企业IT建设和采购必须满足的底线要求。
- 借鉴国际最佳实践: 在满足国内合规要求的基础上,借鉴NIST和ISO系列标准提供的更全面、更细致的技术和管理指南,如NIST SP 800-161和ISO 27036细化供应链风险管理流程,借鉴SSDF和OWASP SAMM评估委托开发方安全开发实践能力,参考NIST SP 800-37构建系统化风险管理流程,参考ISO 27001/GB/T 22080建立ISMS。
- 构建风险驱动的管理机制: 采用GB/T 20984或NIST SP 800-30/ISO 27005的风险评估方法,识别关键风险并确定控制优先级。
- 建立全生命周期安全控制: 将安全要求融入IT产品和服务的整个生命周期。
- 强化供应商安全管理: 建立完善的供应商安全管理流程,包括选型评估、合同条款约束和执行阶段的绩效评估与动态管理。
- 明确职责与跨部门协作: 建立清晰的治理组织架构,明确各部门安全责任,建立协作机制。
- 持续改进与意识提升: 定期评估治理机制有效性,进行人员安全培训。
在实践中,企业可以参考后述提及的“全生命周期安全检查清单框架”,结合具体项目和采购模式,细化为可执行的检查列表,确保各项安全要求和标准得到落实。
5. 全生命周期安全风险体系化治理机制
为有效应对数字化企业在IT建设和采购全生命周期中面临的复杂安全风险,特别是委托开发和第三方采购引入的供应链及产品自身风险,亟需构建一套系统化、贯穿始终的治理机制。该机制旨在将安全要求融入IT资产获取、建设和运营的各个环节,确保风险可控、责任清晰、持续改进。
5.1 治理目标与核心原则
治理目标: 有效识别、评估和控制IT采购及产品生命周期各阶段的安全风险,确保业务连续性、数据资产安全和合规性,显著提升企业整体网络安全韧性,将安全能力转化为业务发展的驱动力而非阻碍。
核心原则: 风险驱动 (Risk-Driven)、全程覆盖 (Full Coverage)、责任明确 (Clear Responsibility)、持续改进 (Continuous Improvement)、业务赋能 (Business Enablement)、合规遵从 (Compliance Adherence)。
5.2 治理组织架构与职责
构建企业级的IT采购安全治理体系需要清晰的组织架构和明确的职责分工。
图示:体系化安全治理框架图,展示了治理目标、组织架构、核心流程及支撑体系间的关系。
IT采购安全治理委员会: 由公司高级管理层牵头,负责制定安全政策与策略、审批重大风险、协调跨部门问题。
各部门职责与协作:
- 信息安全部门: 制定安全标准、流程,进行风险评估、测试、审计,负责事件响应。
- IT技术部门: 系统建设、部署、运维,执行安全策略,配合安全活动。
- 业务部门: 定义安全需求,评估业务影响,参与评审与验收。
- 采购部门: 供应商管理,执行安全准入和合同要求。
- 法务与合规部门: 确保合规性,协助制定合同安全条款。
- 审计部门: 对治理机制有效性进行独立审计。
- 供应商: 履行合同安全义务,配合评估与响应。
5.3 体系化治理流程与活动
体系化治理流程应贯穿IT采购和产品/服务全生命周期的各个阶段,形成事前预防、事中控制、事后审计与改进的闭环管理。
<svg width="900" height="750" xmlns="http://www.w3.org/2000/svg">
<style>
.stage rect { fill: #b3e5fc; stroke: #0277bd; stroke-width: 2; }
.stage text { font-family: sans-serif; font-size: 16px; fill: #01579b; font-weight: bold; text-anchor: middle; alignment-baseline: middle; }
.process rect { fill: #e1f5fe; stroke: #4fc3f7; stroke-width: 1.5; }
.process text { font-family: sans-serif; font-size: 13px; fill: #01579b; text-anchor: middle; alignment-baseline: middle; }
.arrow { stroke: #0288d1; stroke-width: 1.5; marker-end: url(#process_arrow); }
#process_arrow {
fill: #0288d1;
stroke: none;
}
.phase-label text { font-family: sans-serif; font-size: 18px; fill: #004d40; font-weight: bold; text-anchor: start; }
.container rect { fill: none; stroke: #004d40; stroke-dasharray: 5,5; stroke-width: 2; }
.container text { font-family: sans-serif; font-size: 18px; fill: #004d40; font-weight: bold; text-anchor: start; alignment-baseline: middle; }
</style>
<defs>
<marker id="process_arrow" viewBox="0 0 10 10" refX="8" refY="5" markerWidth="6" markerHeight="6" orient="auto-start-reverse">
<path d="M 0 0 L 10 5 L 0 10 z" />
</marker>
</defs>
<!-- Phases -->
<g class="container">
<rect x="20" y="50" width="860" height="200" rx="10" ry="10"/>
<text x="30" y="40">事前预防 (Pre-Event Prevention)</text>
</g>
<g class="container">
<rect x="20" y="280" width="860" height="300" rx="10" ry="10"/>
<text x="30" y="270">事中控制 (In-Event Control)</text>
</g>
<g class="container">
<rect x="20" y="610" width="860" height="100" rx="10" ry="10"/>
<text x="30" y="600">事后审计与改进 (Post-Event Audit & Improvement)</text>
</g>
<!-- Stages (Life Cycle) -->
<g class="stage">
<rect x="50" y="120" width="150" height="40" rx="5" ry="5"/>
<text x="125" y="140">规划与需求</text>
</g>
<g class="stage">
<rect x="220" y="120" width="150" height="40" rx="5" ry="5"/>
<text x="295" y="140">设计与选型</text>
</g>
<g class="stage">
<rect x="390" y="120" width="150" height="40" rx="5" ry="5"/>
<text x="465" y="140">合同与采购</text>
</g>
<g class="stage">
<rect x="50" y="350" width="150" height="40" rx="5" ry="5"/>
<text x="125" y="370">开发、集成、测试</text>
</g>
<g class="stage">
<rect x="220" y="350" width="150" height="40" rx="5" ry="5"/>
<text x="295" y="370">部署与上线</text>
</g>
<g class="stage">
<rect x="390" y="350" width="150" height="40" rx="5" ry="5"/>
<text x="465" y="370">运维与监控</text>
</g>
<g class="stage">
<rect x="560" y="350" width="150" height="40" rx="5" ry="5"/>
<text x="635" y="370">变更管理</text>
</g>
<g class="stage">
<rect x="390" y="640" width="150" height="40" rx="5" ry="5"/>
<text x="465" y="660">废弃与处置</text>
</g>
<!-- Processes -->
<g class="process">
<rect x="50" y="170" width="150" height="30" rx="5" ry="5"/>
<text x="125" y="185">安全需求定义</text>
</g>
<g class="process">
<rect x="220" y="170" width="150" height="30" rx="5" ry="5"/>
<text x="295" y="185">供应商安全尽调</text>
</g>
<g class="process">
<rect x="220" y="205" width="150" height="30" rx="5" ry="5"/>
<text x="295" y="220">安全架构评审</text>
</g>
<g class="process">
<rect x="390" y="170" width="150" height="30" rx="5" ry="5"/>
<text x="465" y="185">合同安全条款审查</text>
</g>
<g class="process">
<rect x="50" y="400" width="150" height="30" rx="5" ry="5"/>
<text x="125" y="415">开发/集成安全监督</text>
</g>
<g class="process">
<rect x="50" y="435" width="150" height="30" rx="5" ry="5"/>
<text x="125" y="450">安全测试与验收</text>
</g>
<g class="process">
<rect x="220" y="400" width="150" height="30" rx="5" ry="5"/>
<text x="295" y="415">上线前风险评估</text>
</g>
<g class="process">
<rect x="390" y="400" width="150" height="30" rx="5" ry="5"/>
<text x="465" y="415">持续安全监控</text>
</g>
<g class="process">
<rect x="390" y="435" width="150" height="30" rx="5" ry="5"/>
<text x="465" y="450">漏洞管理</text>
</g>
<g class="process">
<rect x="560" y="400" width="150" height="30" rx="5" ry="5"/>
<text x="635" y="415">变更安全评审</text>
</g>
<g class="process">
<rect x="560" y="435" width="150" height="30" rx="5" ry="5"/>
<text x="635" y="450">变更安全测试</text>
</g>
<g class="process">
<rect x="390" y="680" width="150" height="30" rx="5" ry="5"/>
<text x="465" y="695">安全退役与数据销毁</text>
</g>
<g class="process">
<rect x="730" y="350" width="150" height="30" rx="5" ry="5"/>
<text x="805" y="365">安全事件应急响应</text>
</g>
<g class="process">
<rect x="730" y="385" width="150" height="30" rx="5" ry="5"/>
<text x="805" y="400">供应商安全绩效评估</text>
</g>
<g class="process">
<rect x="730" y="420" width="150" height="30" rx="5" ry="5"/>
<text x="805" y="435">安全审计与合规检查</text>
</g>
<g class="process">
<rect x="730" y="455" width="150" height="30" rx="5" ry="5"/>
<text x="805" y="470">经验总结与优化</text>
</g>
<!-- Arrows (Simplified Flow) -->
<path class="arrow" d="M200,140 L220,140" />
<path class="arrow" d="M370,140 L390,140" />
<path class="arrow" d="M540,140 C650,140 750,140 750,350" /> <!-- Link to In-Event -->
<path class="arrow" d="M200,370 L220,370" />
<path class="arrow" d="M370,370 L390,370" />
<path class="arrow" d="M540,370 L560,370" />
<path class="arrow" d="M710,370 C780,370 780,350 780,350" /> <!-- Link to Incident Response -->
<path class="arrow" d="M540,420 C650,420 750,420 750,420" /> <!-- Link to Audit -->
<path class="arrow" d="M465,500 C465,550 465,600 465,640" /> <!-- Link to Decommission -->
<path class="arrow" d="M780,490 C780,550 465,580 465,610" /> <!-- Link from Post-Event back to stages/improvement -->
</svg>图示:体系化安全治理流程框架,展示了事前预防、事中控制、事后审计与改进三个阶段贯穿IT生命周期的关键活动。
5.3.1 事前预防 (规划、设计、选型、合同阶段) 旨在将安全风险在早期阶段通过严格的准入和设计控制进行规避。关键活动包括安全需求定义与基线制定、供应商安全尽职调查、合同安全条款审查、安全架构评审。
5.3.2 事中控制 (开发、集成、测试、部署、运维、变更阶段) 旨在通过过程监督、技术检测和持续监控,确保产品和服务的建设与运行符合安全要求。关键活动包括开发/集成过程安全监督、安全测试与验收、上线前风险评估、持续安全监控、变更安全管理。
5.3.3 事后审计与改进 (运维、废弃、审计、总结阶段) 旨在通过事后检查、事件复盘和经验总结,驱动治理体系的持续优化。关键活动包括安全事件应急响应与处置、安全审计与合规检查、经验教训总结与治理体系优化、安全退役与数据销毁。
5.4 技术与管理支撑体系
有效的治理机制需要相应的技术工具和管理体系作为支撑,包括统一的供应商安全风险管理平台、安全风险知识库、自动化安全测试工具集、安全监控与事件管理平台、数据安全技术、身份与访问管理技术等技术支撑,以及信息安全管理体系(ISMS)、风险管理框架、供应商管理流程、变更管理流程、安全意识与技能培训体系、绩效考核与激励机制等管理支撑。
6. 各阶段可执行的安全检查清单
为了将体系化治理机制落地,需要为IT采购和产品生命周期的关键阶段设计可执行的安全检查清单。
图示:IT采购安全检查流程示意图,概括了在IT采购各阶段需执行的主要安全检查活动。
以下为基于前述风险分析、治理机制及标准要求构建的详细检查清单框架:
| 检查项 (Check Item) | 预期结果/标准 (Expected Result/Standard) | 责任方建议 (Recommended Responsible Party) |
|---|---|---|
| 1. 规划与需求分析 | ||
| 安全需求是否已识别并形成文档? | 安全需求说明书/章节已编制,包含功能性/非功能性安全需求,要求可衡量。 参照:GB/T 22239, OWASP ASVS | 业务部门、信息安全部门、IT技术部门 |
| 是否已识别并纳入适用的法律法规和合规要求? | 已梳理并记录与项目相关的法律法规、行业监管要求、等级保护2.0要求。 参照:《网络安全法》、《数据安全法》、《个人信息保护法》、GB/T 22239, GB/T 35273 | 法务与合规部门、信息安全部门、业务部门 |
| 是否已进行初步的第三方引入风险评估? | 已初步评估引入第三方可能带来的供应链风险、数据暴露风险、管理复杂性。 参照:GB/T 36637, NIST SP 800-161 | 信息安全部门、业务部门、IT技术部门 |
| 2. 设计与选型 | ||
| 是否已对设计方案进行安全架构评审? | 安全部门已组织并完成评审,记录设计缺陷或改进建议。 参照:NIST SP 800-53 (SA-8), GB/T 22239 | 信息安全部门、IT技术部门 |
| 是否已对关键技术选型进行安全评估? | 已对拟采用技术进行安全性评估,优先选用符合安全标准的。 参照:GB/T 39786, NIST SP 800-53 (SA-4) | IT技术部门、信息安全部门 |
| 是否已建立并执行供应商安全评估流程? | 已按照企业流程对潜在供应商进行全面安全能力尽调,出具评估报告。 参照:GB/T 36637, NIST SP 800-161, ISO 27001 (A.15) | 采购部门、信息安全部门 |
| 是否已核查供应商的安全资质认证? | 已要求并核查供应商相关的安全资质证明(如ISO 27001)。 参照:ISO 27001, GB/T 22080 | 采购部门、信息安全部门 |
| 3. 合同与采购 | ||
| 合同中是否明确界定了双方的安全责任和义务? | 合同中已包含明确的安全责任条款,清晰界定企业与供应商各自的职责和义务。 参照:合同法、ISO 27001 (A.15), GB/T 22239 | 法务与合规部门、信息安全部门、采购部门 |
| 数据安全和隐私保护条款是否已充分纳入? | 合同中已包含详细的数据安全和隐私保护条款,涵盖数据所有权、处理限制、审计权等。 参照:《数据安全法》、《个人信息保护法》、GB/T 35273, ISO 27018 | 法务与合规部门、信息安全部门、业务部门、采购部门 |
| 是否已约定漏洞修复和事件响应的服务水平协议(SLA)? | 合同中已明确供应商对安全漏洞和安全事件的响应时效和修复时限。 参照:ISO 27001 (A.16) | 信息安全部门、采购部门 |
| 4. 开发、集成与测试 | ||
| (如委托开发) 供应商是否遵循了安全开发生命周期(SDL)流程? | 供应商已按照要求执行SDL实践,企业已进行过程审计或要求提供证明。 参照:NIST SP 800-218 (SSDF), OWASP SAMM, GB/T 22239 | IT技术部门、信息安全部门 |
| 是否已分析并管理第三方组件的已知漏洞? | 供应商已提供软件物料清单(SBOM),企业已使用软件成分分析(SCA)工具扫描并制定漏洞管理和缓解计划。 参照:NIST SP 800-161, OWASP Dependency-Check | 信息安全部门、IT技术部门、供应商 |
| 是否已进行全面的安全测试(渗透测试、漏洞扫描等)? | 已执行黑盒和白盒安全测试(渗透测试、漏洞扫描、代码审计等),覆盖关键功能和潜在风险点。 参照:OWASP Testing Guide, GB/T 22239, NIST SP 800-115 | 信息安全部门、第三方安全测试服务商 |
| 是否已对发现的安全漏洞进行追踪和修复? | 已建立详细的漏洞追踪管理台账,记录、评级、追踪漏洞,要求供应商修复并提供证明。 参照:ISO 27001 (A.12.6), GB/T 22239 | 信息安全部门、IT技术部门、供应商 |
| 5. 部署与上线 | ||
| 部署环境(服务器、网络)是否符合安全基线要求? | 部署环境已按照企业安全加固基线进行配置。 参照:GB/T 22239, NIST SP 800-53 (CM) | IT技术部门、信息安全部门 |
| 产品/服务自身的配置是否安全? | 产品/服务应用层面配置已按照安全要求进行调整。 参照:GB/T 22239 | IT技术部门、供应商 (如需配合) |
| 操作系统、中间件和依赖组件的补丁是否已更新? | 已安装最新的安全补丁。 参照:GB/T 22239, NIST SP 800-53 (SI-2) | IT技术部门 |
| 是否已执行上线前全面的漏洞扫描和渗透测试? | 已在生产环境或等同生产环境进行上线前最终的漏洞扫描和渗透测试,高危漏洞已修复。 | 信息安全部门 |
| 6. 运维与监控 | ||
| 是否建立了常态化的漏洞扫描和管理流程? | 已建立定期漏洞扫描机制,订阅供应商安全通告,制定漏洞修复计划。 参照:ISO 27001 (A.12.6), GB/T 22239, NIST SP 800-53 (SI-2) | 信息安全部门、IT技术部门、供应商 |
| 访问控制和权限管理是否符合最小权限原则? | 已实施最小权限原则,对特权账号采取额外措施,定期权限审计。 参照:ISO 27001 (A.9), GB/T 22239, NIST SP 800-53 (AC) | IT技术部门、信息安全部门、业务部门 |
| 关键安全日志是否已收集、监控和分析? | 已将关键安全日志收集到统一平台和SIEM系统,配置监控和告警。 参照:ISO 27001 (A.12.4), GB/T 22239, NIST SP 800-53 (AU) | 信息安全部门、IT技术部门 |
| 是否建立了安全事件应急响应机制并定期演练? | 已制定应急响应预案,组建团队,定期演练。 参照:ISO 27001 (A.16), GB/T 22239, NIST SP 800-61 | 信息安全部门、IT技术部门、业务部门、法务与合规部门 |
| 远程维护通道是否安全? | 使用安全的远程连接方式,要求强认证(MFA),记录所有远程操作日志。 参照:ISO 27001 (A.11, A.13), GB/T 22239 | IT技术部门、信息安全部门、供应商 |
| (如采购SaaS) 是否持续评估云服务提供商的安全状态? | 已建立机制持续评估SaaS提供商的安全合规状态(如审查第三方审计报告)。 参照:ISO 27017, GB/T 31168, CSA CCM | 信息安全部门、采购部门、IT技术部门 |
| 7. 变更管理 | ||
| 所有变更请求是否经过安全评审? | 已将安全评审集成到IT变更管理流程中,所有变更都需信息安全部门审批。 参照:ISO 27001 (A.14.2.4), GB/T 22239 | IT技术部门、信息安全部门、业务部门 |
| 关键变更是否进行了安全测试验证? | 关键变更已进行必要的安全测试验证。 参照:安全测试最佳实践, GB/T 22239 | 信息安全部门、IT技术部门 |
| 8. 废弃与数据处置 | ||
| 是否制定了详细的安全退役和数据销毁策略? | 已制定详细的安全退役计划,明确数据销毁策略。 参照:ISO 27001 (A.8.3), GB/T 22239 | IT技术部门、信息安全部门 |
| 敏感数据是否已彻底销毁或安全迁移? | 敏感数据已使用符合标准的安全擦除方法或进行物理销毁。 参照:《数据安全法》、《个人信息保护法》、GB/T 35273 | IT技术部门、信息安全部门、业务部门 |
| 所有相关用户账号和访问权限是否已及时回收? | 已及时禁用或删除所有相关的用户账号和系统权限。 参照:ISO 27001 (A.9.2), GB/T 22239 | IT技术部门、信息安全部门、业务部门、供应商 (如适用) |
7. 结论与展望
体系化、全生命周期的安全风险评估与治理是数字化企业有效管理IT采购复杂性和第三方依赖风险的必由之路。通过将安全融入IT采购和产品/服务从规划到废弃的每一个环节,明确各方责任,并辅以持续的监控和改进机制,企业能够显著提升自身抵御外部安全威胁的能力,保障核心业务的稳定运行和数据资产的安全。
未来,随着SBOM的普及、人工智能在风险预测和安全编排中的应用、零信任架构的深化实施以及数据安全法规的日益严格,IT采购安全治理将向更加透明化、智能化、动态化和合规驱动的方向发展。企业应积极跟踪新兴技术和标准,加强内部安全培训和意识提升,并参与行业安全情报共享与合作,不断优化和完善其安全治理体系,以适应快速变化的数字化环境。
8. 参考文献
- 《中华人民共和国网络安全法》.
- 《中华人民共和国数据安全法》.
- 《中华人民共和国个人信息保护法》.
- GB/T 18336 (系列) 信息技术安全评估准则.
- GB/T 20984-2007 信息安全技术 信息安全风险评估规范.
- GB/T 22080-2016 信息技术 安全技术 信息安全管理体系要求 (等同于 ISO/IEC 27001:2013).
- GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南 (等同于 ISO/IEC 27002:2013).
- GB/T 22239 (系列) 信息安全技术 网络安全等级保护基本要求.
- GB/T 31168-2014 信息安全技术 云计算服务安全能力要求.
- GB/T 31722-2015 信息技术 安全技术 信息安全风险管理 (等同于 ISO/IEC 27005:2008).
- GB/T 32921-2016 信息安全技术 信息技术产品供应方行为安全准则.
- GB/T 32923-2016 信息技术 安全技术 信息安全治理 (等同于 ISO/IEC 27014:2013).
- GB/T 35273-2020 信息安全技术 个人信息安全规范.
- GB/T 36637-2018 信息安全技术 ICT供应链安全风险管理指南.
- GB/T 39786 信息安全技术 网络产品和服务安全通用要求.
- ISO 31000:2009 风险管理 原则与指南.
- ISO/IEC 27000:2016 信息技术 安全技术 信息安全管理体系 概述和词汇.
- ISO/IEC 27017:2015 信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实践指南.
- ISO/IEC 27018:2014 信息技术 安全技术 公有云中PII处理者保护PII实践指南.
- ISO/IEC 27036 (系列) 信息技术 安全技术 供应商关系安全.
- NIST SP 800-30 (Rev. 1) Guide for Conducting Risk Assessments.
- NIST SP 800-37 (Rev. 2) Risk Management Framework for Information Systems and Organizations.
- NIST SP 800-53 (Rev. 5) Security and Privacy Controls for Information Systems and Organizations.
- NIST SP 800-61 (Rev. 2) Computer Security Incident Handling Guide.
- NIST SP 800-161 (Rev. 1) Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations.
- NIST SP 800-218 (Rev. 1) Secure Software Development Framework (SSDF) Version 1.1.
- NIST Cybersecurity Framework (CSF).
- OWASP API Security Top 10.
- OWASP Software Assurance Maturity Model (SAMM).
- CSA Cloud Control Matrix (CCM).
- COBIT 5.
贡献者
pansin