确保供应链安全

学习目标

完成本单元后，您将能够：

• 描述组织在评估供应商网络风险水平方面的责任。
  
• 列出保护应用程序开发过程所需的关键技能。
  
• 描述零信任安全方法。
  

本模块是与世界经济论坛合作制作的。详细了解 Trailhead 上的合作伙伴内容。

评估供应商的网络风险

在网络安全风险管理模块中，您学习了如何像商业领袖一样思考，以及如何培养内部和外部合作伙伴关系。您还了解了强大的网络卫生实践、实施强大的身份验证和防止网络钓鱼。在本模块中，您将学习 WEF 指南的其余五个原则，从确保供应链安全开始。

第三方风险管理是一个让很多首席信息安全官 (CISO) 夜不能寐的问题。作为领导者，最好保持最新的数据清单，以了解在什么情况下与哪些实体共享了哪些数据。您可以采取以下几步来降低敏感信息泄露的风险： 

• 对供应商的背景进行尽职调查。包括规定对第三方员工进行安全检查
  
• 根据需要限制第三方访问。仅共享第三方履行其职能所需的信息，并定期审查信息共享协议。
  
• 以合同的形式将供应商与安全策略联系起来。数据共享协议应明确说明供应商必须遵守的政策以及不遵守的后果。
  
• 根据第三方关系的关键性和风险，制定审核和审查的频率。
  

确保软件开发生命周期安全 (SDLC)

组织 SDLC 的组成部分是供应链的一个关键方面。为了保护 SDLC，精明的安全团队让开发人员从一开始就编写安全代码，在项目和产品开发的整个生命周期中践行通过设计保证安全性。您可以在 Trailhead 模块应用程序安全工程师职责中了解有关此方法的更多信息。除了确保开发生命周期的安全，精明的网络安全领导者还考虑如何保护他们的数据，无论数据流向何处，这一概念被称为零信任安全方法。

实施安全零信任方法

过去，组织通常部署基于外围的安全方法，将组织的网络视为可信区域，将防火墙和防病毒保护等主要安全防御置于边缘。如今，网络安全领导者认识到需要采取零信任的方法，不能假设组织在自己“安全”的公司网络范围内就是安全的。零信任方法对数据资产本身进行控制。您可以在 Trailhead 模块网络安全规划中了解有关此方法的更多信息。

总结

在本单元中，您了解了无论数据存储在何处，组织应如何保护敏感数据。组织通过评估和审计第三方关系、确保 SDLC 的安全，以及采用网络安全零信任方法来实现这一目标。接下来，我们来介绍组织如何预防、跟踪和应对网络威胁。 

资源

• 外部站点：WEF：面向当今数字世界领导者的网络安全指南
  
• 外部站点：美国商会：商业网络风险评估 
  
• 外部站点：Forbes：为什么第三方网络风险管理对现代企业很重要
  
• 外部站点：NIST：第三方人员安全国家标准与技术研究所 
  
• PDF：NIST：供应商选择和管理的最佳实践
  
• Trailhead：网络弹性计划发展