近期,《网络安全技术 软件供应链安全需求》(GB/T 43698-2024)国家标准正式发布,并将于2024年11月1日正式实施。该国家标准的发布为加强金融行业开展软件供应链危害管理,促进制品和服务的安全性和靠谱性供给了有力支撑,亦将推动第三方公司检测评定能力的提高与发展,对金融行业软件供应链行业安全发展拥有要紧道理。
《安全需求》确定软件供应链安全目的
该标准确立了软件供应链安全目的,规定了软件供应链安全危害管理需求和供需双方的组织管理和供应活动管理安全需求。适用于指点软件供应链中的供需双方开展危害管理、组织管理和供应活动管理,可为第三方公司开展软件供应链安全检测和评定供给依据,亦可为主管监管部门供给参考。
金融行业软件供应链安全要紧性
随着近几年开源技术快速应用,在云计算、移动互联网、大数据、AI技术等行业逐步形成技术主流。开源技术正在渗透软件行业的方方面面,金融公司的发展已然越来越难以规避开源的引入。这里背景下,软件供应链安全管理作为了庞大、繁杂且系统的工程。金融做为触及关乎百姓经济的关键行业,依赖海量软件系统来支持其核心业务和运营,包含金融交易、客户服务、危害管理等关键业务功能。
金融公司一般处理着海量的敏锐数据和财务交易,安全问题一旦显现,后果将不堪设想。另一方面,金融行业的监管需求亦在持续深化,针对软件供应链安全的需求亦越来越高,软件供应链安全对金融行业的要紧性日益凸显。
随着人民银行首个金融科技三年规划的结束,我国金融科技从"立柱架梁"全面迈入“积厚成势"新周期。人民银行在《金融科技发展规划(2022-2025 年)》提出了关于切实保证供应链稳定靠谱的一系列需求,包含事前把好选型关口,事中保证应急贮存,事后强化危害处置,最后构建稳健有效的关键核心技术金融应用供应体
金融公司需要采取一系列办法来应对持续增长的安全威胁,创立完善的供应链管理制度,以应对软件供应链安全的挑战,保证软件供应链的安全可信,降低危害金融行业的软件供应链安全体系建设势在必行。
软件供应链安全管理中存在许多问题
在这种背景下,金融行业必要构建起一套坚固的软件供应链安全管理体系,以应对日益增长的合规需求及繁杂的安全威胁。尽管业界已然广泛认识到软件供应链安全的要紧性,但治理起来依然面临重重挑战。
供应关系繁杂,管理难度大
金融行业触及供应商数量众多,且可能存在层层转包的现象,运营者难以理清供应关系,透明度低,软件供应链安全管理难度大。
管理制度不完善,安全评定缺失
金融行业缺乏可落地的软件供应链安全管理体系,缺少对软件供应链安全管理的有效手段和办法,如软件供应链安全评定、软件供应商安全检测等。
注重程度不足,干系人管理不到位
常常更加注重经过技术手段守护软件安全,对为其供给设计、建设、运维、技术服务的供应商和人员的服务过程安全管理不足。
开源依赖严重,漏洞危害很强
软件研发海量引入开源和第三方组件,供应商缺少制品安全研发流程、制品安全漏洞快速响应机制、供应链安全危害监测机制等,引起没法即时处置供应链安全危害。
软件供应链安全管控帮忙构建安全基石
针对以上挑战,道普信息第三方危害管控专家提出,经过供应链安全管控来有效应对金融行业安全威胁,满足监管需求。
供应链安全管控服务全景图
1.摸状况
摸清监管单位、建设单位、承建单位的供应链安全状况。包括区域监管分部需求、本单位软件供应链关系、供应链安全管理体系、供应链安全技术办法等。
2.做评定
开展供应链安全能力评定,包括设立指标、数据采集、差距分析、危害评定、整改意见等周期,全方位评定服务对象供应链管理能力。
软件供应链管理能力评定方法
3.建制度
帮助服务对象完善软件供应链安全管理体系,从立项、采购、实施、验收、运维等周期创立或完善管理制度、规范等。
4.常监控
常态化开展供应链安全检测及监督工作,可定时开展针对软件层面的攻防演练、软件上线检测、开源软件漏洞检测、人员安全认识培训、供应链专项监督检测等。
随着数字化转型进程的推进,金融行业软件供应链安全问题日益明显。GB/T 43698-2024《网络安全技术 软件供应链安全需求》的发布,没疑为我国金融行业软件供应链安全能力的提高注入了强心剂,它不仅是技术规范的升级,更加是安全认识与管理实践的全面革新。道普信息危害管控专家强调,经过开展软件供应链危害管理,一起推动我国金融行业软件供应链安全管理水平迈向新的高度,为我国数字经济的健康发展保驾护航。
返回外链论坛:www.fok120.com,查看更加多
责任编辑:网友投稿
|