供应链上的保密事件发生的时候有没有应急预案,处理的速度和效果完全不一样。没有预案的企业,出事后往往先忙着追责、忙着开会、忙着搞清楚出了什么事,等反应过来再做应对,泄露已经扩散得很广了。
有预案的企业就不一样。预案告诉他们首要步做什么、第二步做什么、谁负责哪一块,反应速度和应对质量都明显好得多。
建立供应链保密事件的应急响应机制,是供应链保密管理体系中重要的组成部分。这个机制不是一张纸,而是要在实战中能够真正运转起来的流程。
应急响应机制的起点是事件分级。不同类型的保密事件对应不同的响应级别和资源配置。比较实用的分级方式是把事件分成三级。
三级事件是低风险事件。比如供应商误操作将保密文件发送给了非授权人员,但在发现后对方尚未打开或转发。这类事件的响应要求是比较简单的内部处置,无需升级到管理层。涉事供应商做内部说明即可,企业做一次书面记录备查。
二级事件是中等风险事件。比如供应商发生了疑似数据泄露,但影响范围可控。或者供应商内部出现了保密信息在非授权范围内流转的情况。这类事件需要供应商的安全负责人和企业对接人共同处理。供应商在约定时间内提交详细的事件说明和影响评估报告,企业根据情况决定是否启动独立的调查程序。
一级事件是高风险事件。比如供应商系统被入侵导致大量企业数据泄露,或者保密信息已经传播到了公开渠道。这类事件需要立即启动全面的应急响应,企业管理层介入,必要时启动法律手段和公关应对。一级事件的响应时效要求很高,通常要求在发现后的两小时内完成初步通报,二十四小时内完成影响评估。
在事件分级确定后,下一步是建立清晰的事件上报和通知流程。供应商发现涉及企业保密信息的安全事件后,按照什么时间、什么方式、什么内容来通知企业,这些都要提前约定好。合同里不能只写一句"发生安全事件应及时通知",要把多长时间内通知、从什么渠道通知、需要报告哪些内容都写清楚。
从实际操作经验看,要求供应商在发现事件后一到两小时内做出初步通报是比较合理的时间要求。初步通报不需要尽善尽美,至少让企业知道发生了什么、大概的影响范围是什么。完整的调查报告可以在二十四小时或四十八小时内提交。
企业方面也要建立内部的应急响应小组。这个小组至少包括信息安全负责人、法务、供应商管理负责人、公共关系负责人。人员名单、联系方式和替代联系方式要定期更新并保持在有效状态。应急响应小组成员明确各自在事件处理中的职责,不临时指派。
应急机制建立之后,定期的演练可以检验机制的可用性。演练的方式可以是桌面推演,也可以是实战模拟。桌面推演是假设一个事件场景,各方按照预案流程从头到尾走一遍,讨论每个环节的应对措施。实战模拟则是在不提前通知的情况下模拟一个真实的事件触发过程。
有一个信息安全做得较好的制造企业,每半年会和核心供应商联合做一次数据泄露应急演练。演练结束后开总结会,梳理暴露的问题,更新应急预案。经过几次演练,整个应急体系的响应速度和处理质量都有了实际的提升。
演练中常见的问题包括:联系人电话打不通、上报流程被跳过了关键步骤、应急资源不知道去哪里领、对外沟通口径没有统一。每次发现的问题都要归入改进计划,在下一次演练中确认整改效果。
完整的应急响应文档主要包括这几部分。事件发现与报告流程。应急响应小组职责分工。事件调查与影响评估标准。内部沟通和对外通报模板。证据保全和司法应对指引。供应商端应急联系人清单。文档存放在可以快速获得的地方,不锁在没有人的文件柜里。
应急响应机制平时可能用不上,但一旦用上了就是决定事件走向的关键。花时间去建立和演练,是对供应链信息安全管理有责任心的表现。
