【技术实现步骤摘要】
本专利技术涉及信息安全管理,具体为一种企业供应商信息安全管理方法和系统。
技术介绍
1、企业供应商信息安全管理系统属于信息安全管理领域,该领域旨在确保企业内部及外部信息的机密性、完整性和可用性,特别是在与供应链相关的交易和数据处理过程中。随着供应链管理在全球企业运营中占据越来越重要的地位,信息安全在供应链中的重要性日益突出。在这个具体领域中,供应商与企业共享敏感数据或关键系统的访问权限,这使得供应商的安全性直接影响企业整体的安全保障。因此,供应商的信息安全管理成为企业风险管理的重要组成部分。
2、现阶段企业面临的一个显著问题是缺乏有效的工具来持续评估和监控供应商的安全能力。传统的供应商安全评估大多停留在合约签订前的初步审核和静态检查,缺少对供应商动态表现的监控。随着供应链复杂度的提升,供应商的依赖度越来越高,但企业往往缺乏实时的手段来追踪供应商的合规性、安全事件响应、数据保护措施等。这种静态评估模式不仅使得企业难以及时发现潜在的安全风险,还会因忽略供应商安全管理的动态性,导致严重的安全隐患累积,进一步威胁企业的信息安全。
技术实现思路
1、针对现有技术的不足,本专利技术提供了一种企业供应商信息安全管理方法和系统,解决了
技术介绍
中提到的问题。
2、为实现以上目的,本专利技术通过以下技术方案予以实现:包括供应商信息采集模块、初步安全分析模块、合规性与数据保护分析模块、综合分析模块和问题跟踪与整改建议模块;
3、供应商信息采集模块用于设置api应用程序
4、初步安全分析模块用于构建响应能力算法公式和日志管理能力算法公式,并提取数据库中的供应商信息数据和日志数据,输入响应能力算法公式和日志管理能力算法公式中,输出响应能力评分sres和日志管理能力评分slog;
5、合规性与数据保护分析模块用于构建合规性偏离率算法公式和数据处理安全算法公式,再提取数据库中的供应商信息数据和日志数据,输入到合规性偏离率算法公式和数据处理安全算法公式进行计算输出合规性评分scom和数据处理安全评分sadt;
6、综合分析模块用于将所获取的响应能力评分sres、日志管理能力评分slog、合规性评分scom和数据处理安全评分sadt进行综合计算,输出供应商综合安全评分stot,并预设安全阈值s与所获取的供应商综合安全评分stot进行初步对比评估,并生成评估结果与改进建议;
7、问题跟踪与整改建议模块用于构建改进有效性算法公式,进行输出改进有效性得分eimp,并设置二次评估,结合改进有效性得分eimp和供应商综合安全评分stot,进行计算输出安全能力提升评分sfin,并与安全阈值s进行二次评估,依据评估结果执行扣分计划。
8、优选的,供应商信息采集模块包括数据采集单元和数据存储单元;
9、数据采集单元通过使用供应商所提供的api应用程序接口与供应商端和供应商系统日志进行集成,实时采集供应商信息数据和日志数据;
10、供应商信息数据包括数据处理安全指标dpp、上游供应商的依赖指标vdr、合规偏离率cdp、数据加密能力指标eenc、数据存储安全能力指标esto和外部数据风险系数rext;
11、日志数据包括安全事件的响应时间ttr、供应商日志保留时间slr、事件复发概率irp和权限管理能力指标eacc;
12、数据处理安全指标dpp通过集成自动化扫描工具,对供应商系统进行安全检测,验证其安全措施的有效性获取;
13、上游供应商的依赖指标vdr通过第三方供应链风险管理工具获取供应商的依赖性分析后进行采集;
14、合规偏离率cdp通过集成第三方合规工具,自动检查供应商的合规性,并计算偏离率后进行采集;
15、数据加密能力指标eenc通过供应商的安全管理工具获取有关加密日志或加密算法的详细信息;
16、数据存储安全能力指标esto通过读取供应商的数据存储系统日志,查看其是否采用了数据备份和冗余机制,是否对存储的数据进行了加密;
17、外部数据风险系数rext通过api连接到供应商的外部数据接口,检测其传输的安全性以及外部连接的潜在威胁;
18、安全事件的响应时间ttr通过供应商根据其内部数据提供平均响应时间,特别是在过去的特定时间段内的统计数据,进行统计分析获取;
19、供应商日志保留时间slr通过与供应商日志管理系统的api连接,系统可以自动获取日志保留时间的相关配置;
20、事件复发概率irp通过自动读取供应商系统的供应商历史事件记录,计算同类事件发生的频率计算获取;
21、权限管理能力指标eacc通过供应商的网络访问日志和权限管理策略,进行深入扫描和验证,确保用户的权限是正确且符合安全策略的;
22、数据存储单元用于构建nosql数据库,并设置写入端口和写出端口,通过写入端口将采集到的供应商信息数据和日志数据写入数据库中的存储表中,存储表包括供应商信息表和日志保留表,供应商信息表用于存储供应商信息数据,日志保留表用于存储日志数据,再通过写出端口实时提取供应商信息数据和日志数据。
23、优选的,初步安全分析模块包括安全事件响应能力分析单元和日志管理能力分析单元;
24、安全事件响应能力分析单元用于构建响应能力算法公式,再通过数据库的写出端口提取日志数据中的安全事件的响应时间ttr,输入到响应能力算法公式中,进行计算输出响应能力评分sres;
25、响应能力评分sres通过以下响应能力算法公式计算获取;;
26、式中,表示调整因子,用于表示响应时间差异的影响,tideal表示企业要求的理想响应时间,具体数值由用户进行设定,e表示指数函数。
27、优选的,日志管理能力分析单元用于构建日志管理能力算法公式,再通过数据库的写出端口提取供应商信息数据和日志数据中的供应商日志保留时间slr与上游供应商的依赖指标vdr,输入到日志管理能力算法公式中,进行计算输出日志管理能力评分slog;
28、日志管理能力评分slog通过以下日志管理能力算法公式计算获取;;
29、式中,log表示对数函数,表示上游供应商的依赖指标的权重值,其具体数值由用户进行设定。
30、优选的,合规性与数据保护分析模块包括合规性偏离率分析单元和数据处理安全分析单元;
31、合规性偏离率分析单元用于构建合规性偏离率算法公式,再通过数据库的写出端口提取供应商信息数据中的合规偏离率cdp,输入到合规性偏离率算法公式中,进行计算输出合规性评分scom;
32、合规性评分scom通过以下合规性偏离率算法公式计算获取;;
33、式中,n表示合规性标准的总数,wi表示第i个标准的权重值,cdpi表本文档来自技高网...
【技术保护点】
1.一种企业供应商信息安全管理系统,其特征在于:包括供应商信息采集模块、初步安全分析模块、合规性与数据保护分析模块、综合分析模块和问题跟踪与整改建议模块;
2.根据权利要求1所述的企业供应商信息安全管理系统,其特征在于:所述供应商信息采集模块包括数据采集单元和数据存储单元;
3.根据权利要求2所述的企业供应商信息安全管理系统,其特征在于:所述初步安全分析模块包括安全事件响应能力分析单元和日志管理能力分析单元;
4.根据权利要求3所述的企业供应商信息安全管理系统,其特征在于:所述日志管理能力分析单元用于构建日志管理能力算法公式,再通过数据库的写出端口提取供应商信息数据和日志数据中的供应商日志保留时间SLR与上游供应商的依赖指标VDR,输入到日志管理能力算法公式中,进行计算输出日志管理能力评分Slog;
5.根据权利要求1所述的企业供应商信息安全管理系统,其特征在于:所述合规性与数据保护分析模块包括合规性偏离率分析单元和数据处理安全分析单元;
6.根据权利要求5所述的企业供应商信息安全管理系统,其特征在于:所述数据处理安全分
7.根据权利要求2所述的企业供应商信息安全管理系统,其特征在于:所述综合分析模块包括综合分析单元和综合评估单元;
8.根据权利要求7所述的企业供应商信息安全管理系统,其特征在于:所述问题跟踪与整改建议模块包括改进效果分析单元和最终分析单元;
9.根据权利要求8所述的企业供应商信息安全管理系统,其特征在于:所述最终分析单元包括供应商最终评分分析单元和二次评估单元;
10.一种企业供应商信息安全管理方法,应用于权利要求1-9中任一项所述的企业供应商信息安全管理系统,其特征在于:包括以下步骤:
...【技术特征摘要】
1.一种企业供应商信息安全管理系统,其特征在于:包括供应商信息采集模块、初步安全分析模块、合规性与数据保护分析模块、综合分析模块和问题跟踪与整改建议模块;
2.根据权利要求1所述的企业供应商信息安全管理系统,其特征在于:所述供应商信息采集模块包括数据采集单元和数据存储单元;
3.根据权利要求2所述的企业供应商信息安全管理系统,其特征在于:所述初步安全分析模块包括安全事件响应能力分析单元和日志管理能力分析单元;
4.根据权利要求3所述的企业供应商信息安全管理系统,其特征在于:所述日志管理能力分析单元用于构建日志管理能力算法公式,再通过数据库的写出端口提取供应商信息数据和日志数据中的供应商日志保留时间slr与上游供应商的依赖指标vdr,输入到日志管理能力算法公式中,进行计算输出日志管理能力评分slog;
5.根据权利要求1所述的企业供应商信息安全管理系统,其特征在于:所述合规性与数据保护分...
【专利技术属性】
技术研发人员:程武阳,雷申文,华明山,
申请(专利权)人:深圳建安润星安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。