美国网络安全和基础设施安全局 （CISA） 日前发布了新指南，供政府和私人组织在寻求将服务外包给托管服务提供商 （MSP） 时加以考虑。为了帮助组织做出信息技术（IT）服务决策，国土安全部（DHS）下属网络安全和基础设施安全局（CISA）的国家风险管理中心（NRMC）为被管理服务提供商客户开发了一套风险考虑。该框架汇编来自CISA、IT和通信行业合作伙伴的信息，为组织提供资源，以便在确定满足其独特需求的最佳解决方案时做出风险决策。

　　CISA发布的新指南名为“托管服务提供商客户的风险注意事项”，针对三个决策群体：高级管理人员和董事会、采购专业人员、网络/系统管理员和一线网络安全人员。

　　该文档包括来自各种权威机构（例如美国国家标准与技术研究院 （NIST））的最佳实践和注意事项，供组织审查其安全实践并确保他们准备好防止网络攻击。

　　CISA 解释说，高管有其风险管理职责，并应保持对其组织内使用的系统和技术的认识。他们还应该了解与系统、数据、生产力和客户信心损失相关的风险，以及与罚款和监管成本相关的成本。

　　高管以及参与采购的员工应针对企业风险分析外包的好处，并应确保在出现可能影响运营和影响客户的故障或事故时，客户和供应商共同承担责任。

　　“为了最大限度地减少外包 IT 服务时的此类中断，组织可以使用责任共担模型在供应商协议中定义角色和责任，该模型阐明了供应商的责任、客户的责任以及双方共同承担的任何责任，”CISA的指南中指出。

　　组织应制定企业网络安全风险管理计划，以考虑与使用 MSP 提供的 IT 服务相关的潜在风险。可能无法实施此类计划的中小型企业 （SMB） 仍应对关键资产进行分类并评估这些资产的风险，并优先考虑将其纳入供应商协议并针对影响它们的事件制定应急计划。

　　CISA 说，需求管理流程应该跨职能领域进行协调，以确保性能、可靠性和安全性。CISA 指出，担任采购角色的个人应创建并维护一份要求清单，其中应包括“对安全性、运营连续性和其他核心业务功能的考虑”。组织应根据这些要求审查潜在的MSP。

　　该机构还建议组织在签署协议之前向MSP提出具体要求，其中包括确认签署MSP的个人负责服务的安全、事件管理和补救能力的详细信息，并解释不同客户的数据在MSP网络上是如何分离的。

　　负责监控和管理MSP活动的员工应制定任何第三方供应商享有的访问级别策略，并鼓励组织不断重新评估访问要求。在可能的情况下，应在签订合同之前定义特权和访问级别，以确保供应商能够满足服务要求。对网络管理员、系统管理员和网络防御者的建议中，特别强调了组织的网络要运用零信任模型的原则。

　　此外，建议组织维护重要记录和网络日志的异地备份，以帮助在MSP发生事故时进行恢复并验证供应商活动。根据 NIST 的建议，企业应在其事件响应计划中包括MSP等供应商，并应定期更新这些计划。

　　“NIST 还建议组织和供应商为漏洞披露、事件通知以及在事件期间与任何外部利益相关者的沟通建立明确的协议。组织和供应商还应为客户网络上的威胁搜寻和事件响应程序建立明确的授权协议，”CISA 指出。

　　将IT服务外包给MSP的SMB，寻求提高效率和节省成本，应保持对其系统访问的完全控制，应了解供应商访问，并应保留网络日志以及所有关键数据的异地备份，指南中强调。