概述

随着公司之间共享的信息越来越多,我们了解网络威胁并努力防止它们变得越来越重要。

据估计,80%的入侵源自更广泛的供应链,随着对工业供应链的复杂攻击不断增加,供应商了解业务周围的风险以及如何积极寻求解决这些威胁至关重要。

常见的供应商的威胁

作为供应商,了解你可能面临的常见网络威胁可以积极帮助你集中精力。大多数攻击可分为以下几类:

  • 利用供应商的访问或连接这可能包括窃取知识产权和引入破坏IT网络的恶意软件。例如,利用供应商的VPN连接来获得对劳斯莱斯系统的非法访问。beplay 行业的标杆
  • 供应商运营技术的开发,这可能包括导致安全问题的组件损坏和软件泄露,从而导致IT网络中断。例如,破坏性恶意软件迫使IT驱动的生产线暂时关闭。
  • 供应商IT网络的开发这可能包括知识产权的流失、供应商运营的中断以及供应商向罗尔斯-罗伊斯提供产品或服务的能力。beplay 行业的标杆例如,利用易受攻击的供应商系统获取本地存储的劳斯莱斯敏感信息。beplay 行业的标杆

供应商的要求

所有供应商必须遵守“总则”项下的要求。供应商可能需要遵守《民法典》、《美国国防法典》和《英国国防法典》中所述的终端客户要求。如果一个供应商跨越了这些领域,每个领域的要求都应该被遵守。

一般

对所有供应商的基本网络安全要求

一般

所有供应商的标准要求和最佳实践:

  • 根据您对罗尔斯-罗伊斯数据或流程的访问或交互情况,beplay 行业的标杆罗尔斯-罗伊斯供应网络内的所有供应商都将获得一份合规标准清单。这些需求必须遵守.标准将是:
    • 基线-适用于供应商对劳斯莱斯数据的访问受限的情况beplay 行业的标杆
    • 增强-适用于供应商有大量劳斯莱斯数据的情况beplay 行业的标杆
  • 除了这些标准外,如果您直接连接到罗尔斯-罗伊斯网络,您必须遵循连接代码(CoCo)标准规定的最低安全控制。beplay 行业的标杆
  • 最佳实践为帮助您保持良好的网络卫生提供了附加的资源。

美国国防

对美国供应商的网络安全要求

美国国防

美国国防供应商的额外要求和最佳做法:

  • 大多数支持美国国防合同的供应商都要求遵守DFARS 252.204-7012。2020年11月增加了额外的评估和报告要求。欲了解更多详情,请参阅劳斯莱斯全球供应商门户网站上的供应商通知(NTS) #519。beplay 行业的标杆
  • 建议您开始规划由国防部(DOD)开发的网络安全成熟度模型认证(CMMC)。该模型结合了各种网络标准和促进基本网络卫生的最佳实践,以详细说明保护企业的先进措施。
  • 为了协助CMMC的规划,DIB SCC行业工作组创建了一个名为CyberAssist的有用资源,以帮助供应商遵守网络安全法规。

民事

民用供应商的网络安全要求

民事

对民用供应商的额外要求和最佳做法:

  • 关于信息安全风险管理的NPA(NPA 2019-07)将影响民用航空中使用的所有航空信息系统。Easa将发出已知作为可接受的合规手段(AMC)的非绑定合规性标准,以使供应商能够满足这些新要求。
  • 如果您处理或认证以下内容,CS-23, CS-25, CS-27, CS-29, CS-E, CS-ETSO, CS-P,关于飞机网络安全要求的修订建议通知(NPA 2019-01)将影响您。您可以使用AMC文档。

英国国防

英国供应商的网络安全要求

英国国防

英国国防供应商的其他要求和最佳实践:

  • 国防网络保护伙伴关系(DCPP)是国防部(MOD)和工业界的一个联合倡议,旨在改善国防供应链免受网络威胁的保护。DCPP开发了网络安全模型(DEFCON 658),该模型提供了英国国防供应商可以采取的步骤,以确保他们受到适当的保护,免受攻击。
    1.通过完成风险评估确定网络风险概况。
    2.根据外形,符合Def Stan 05-138, CES或CES+。
    3.完成供应商保证问卷(SAQ)以证明符合要求。

    这个模型的替代方案以及供应商的需求流程在国防部网站上有详细说明。
  • 如果您使用MOD可识别信息(MOD II),则必须遵守《国防供应商网络安全》(Def Stan 05-138)中规定的程序。MOD II的定义在附带的文件中进行了定义。
  • 如果您处理或与官方敏感(OS)或以上的材料有合同关系,则被视为“离岸”,且数据位于官方和/或国防部要求报告官方信息的丢失或妥协,您将被要求遵守在合同开始时发出的安全方面信(SAL)中定义的附加处理要求。为进一步指导提供了MOD可识别信息定义。

事故报告

  • 要报告漏洞,请遵循附带的漏洞披露政策中发布的指导。
  • 如果您怀疑自己已成为网络攻击的受害者,那么尽快通知罗尔斯-罗伊斯安全运营中心(SOC)是至关重要的。beplay 行业的标杆
    SOC将在适当的时候提供额外的信息来解决您的问题。

供应商网络意识

beplay 行业的标杆罗尔斯-罗伊斯网络安全供应商意识网络研讨会:让我们了解如何遵守CMMC

罗尔斯-beplay 行业的标杆罗伊斯网络安全供应商意识网络研讨会系列是与MxD和罗尔斯-罗伊斯合作开发的,旨在提高罗尔斯-罗伊斯供应商对网络合规要求的认识水平

在本系列网络研讨会的第一部分中,我们将深入了解网络安全成熟度模型认证(CMMC)框架。CMMC旨在为国防部提供更多的保证,即国防工业基地(DIB)公司能够充分保护敏感的非机密信息,核算多层次供应链中流向分包商的信息。

在本次网络研讨会中,与会者将:

  • 学习CMMC的基础知识
  • 收到CMMC一级和二级的全面分解
  • 参与与MxD网络专家的问答

活动机会和注册详情

1.选择您希望参加的虚拟网络研讨会点击链接注册

2.选择注册将被带到Eventbrite注册工具

3.选择1为一般入场票数量并选择注册(请注意活动免费参加)

4.输入联系信息(姓名和电子邮件)进入结帐区并选择注册

5.提交联络资料后,您将收到一封自动确认邮件加入使用微软团队

6.确保选择option to添加到日历提醒!

7.在选定的网络研讨会当天:

  • 使用电子邮件发送给您的会议细节加入
  • 在加入之前,一定要检查系统要求,以避免任何连接问题

对网络研讨会有问题或意见吗?联系info@mxdusa.org

询盘

Baidu