首页
学习
活动
专区
工具
TVP
发布

疫情之下,金融行业供应链安全走向何方

当下疫情形势严峻,虽说未来疫情一定会过去的,但长期与疫情共存可能是大家必须接受的现实,疫情必将限制金融行业与供应商的交互,给供应链的管理增加无穷困难。

目前金融行业供应链安全管理主要是两大问题:

对于直接的、签有合同的供应商,银保监提出更高的安全管理要求,增加现场审核的数量和比例,对数据安全和业务连续性的安全检查要求更高,这对银行本就十分困难,何况受疫情影响,虽然明知乙方的经营风险在加大,现场核查更重要,仍然无法在抗疫政策下实现现场检查。

最近Log4j2、Spring等开源组件导致风险频发,金融企业和监管机构都注意到了开源组件领域内泛供应链安全,目前也有一些工具如:软件成分分析(SCA)等工具可以检查软件的开源组件构成以及风险,但怎么真正应用到供应链安全管理中去,仍然有相当的困难。

怎么成体系地实现供应链安全管理对金融行业是一个真正的挑战。这个体系的建设和完善有一个过程,但在金融体系内部,跟这个体系最接近的就是外包商管理体系。基于全生命周期的外包商管理体系,融入当前新型供应链风险的管控,逐步构造完善的供应链安全管理体系。

对于外包商管理体系,2021年底,银保监会发布的《银行保险机构信息科技外包风险监管办法》 (银保监办发[2021] 141号)是一个成体系的管理办法。该《办法》中,从外包商的风险到全生命周期的管理动作都有涉及,是金融行业建立自身外包商管理体系的重要指导文件。

同时,在这份文件中提到对具有行业集中度性质的服务提供商,银行保险机构可采取联合检查、委托检查等形式,减少重复性工作,减轻服务提供商的检查负担。“委托检查、联合检查”就是监管机构对外包商管理困难开出的药方,在受疫情限制的今天,更能看出该药方的合理性。

要解决上文所提到的供应链安全困难,必须引入第三方专业机构,这个专业机构必须具备以下三方面的专业能力:

1.可以代替金融机构,实现供应的现场检查,完成数据泄露、业务连续性不足的高技术难度核查。

金融行业的供应商复杂多样,有提供IDC服务的大型运营商,有小型的催收公司,早期一个统一模板的尽职调查模式显然不能满足要求。必须建立专业的分类分级制度,针对不同类别的供应商有不同的检查方法、评价指标,才能做好该处检查。

2.对当下开源组件风险等新型风险有工具、有经验,能够协助金融机构完成对新型风险的检查与监控。

当下,开源组件等风险不同于以前的供应链风险,一些供应商并没签有合同,但也通过各种形式影响到业务的安全。这种广义的供应链安全管理更加的复杂、困难。有些金融企业把这部分安全寄希望于某个安全工具如SCA,这显然是不现实的,必须在工具基础上,建立清单,建立动态管理和响应机制,才能达到管理效果。

3.应该保持检查的独立性,促进检查结果在不同的金融机构中共享,从根本上实现供应链管理的共享,提升供应链管理效率。

最后,希望这样专业的第三方公司越来越多,金融行业能够借助这些专业机构,跨过疫情的障碍,更好地实现供应链安全管理。

北京国舜科技股份有限公司,新一代场景化网络安全综合解决方案供应商,国家高新技术企业,以创新的技术研发、丰富的认证资质致力于为客户提供DEVSECOPS、供应链检查服务、外包商检查服务、SCA、XDR、Web应用安全、等保合规等领域的产品、服务和整体解决方案,已助力百余家银行及上千家企事业单位信息安全保障能力与网络安全防护能力的提升。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20220415A07N1U00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券