24.供应链安全风险排查 操作建议: 1.梳理、审查IT供应商名单;
2.明确并落实供应商安全责任;排查供应商访问权限、能接触的敏感信息;
3.排査供应商建设/维护的信息系统,确认是否要做漏洞扫描和渗透测试;
4.要求应用系统的供应商对自身的网络和系统安全进行自查,确保源码不会泄露;
5.提示: a.供应商的安全评估一般不属于项目范围,PM应评估风险、判断需求应提前提交商机和预算;如防守单位为小型的、分支机构单位,本项为可选项,做好攻击路径排查和访问控制即可。 b.一般来说,攻击队搞不了总公司,就会搞分公司,搞不了分公司,就会搞供应商。 |