网络供应链风险管理案例研究 行业观察 梅奥诊所 2020年2月4日 该出版物可从以下网址免费获得： https://doi.org/10.6028/NIST .CSWP .02042020 -5 乔恩 ·伯恩斯 西莉亚 ·保尔森（ Celia Paulsen ） 计算机安全司信息技术实验室 纳迪亚 ·巴托（ Nadya Bartol ） 克里斯 ·温克勒 詹姆士 ·金比 波士顿咨询集团 翻译 樊山 鹰眼翻译社区 公司简介 梅奥诊所是一家 非营利性医疗 学术机构，总部位于明尼苏达州罗切斯特，每 年为亚利桑那州，佛罗里达州和明尼苏达州的 120万患者提供服务 。来自世界各 地的患者来到 这里利用他们的设施 和设备以获得专门的治疗 。梅奥诊所在 其医学 与科学学院设有 5所学校，包括国家级临床计划和领先的医学研究计划 。i 风险简介 梅奥诊所每年在成千上万的供应商上花费超过 40亿美元。医疗中心受到监 管机构的严格控制，并负责确保其供应链合作伙伴遵守数据管理政策，例如《药 品供应链安全法案》和《健康保险可移植性和责任法案》 （ HIPAA）。更重要的是， 供应链受损可能会影响患者护理质量或造成患者伤害 。梅奥诊所在供应链管理方 面进行了大量投资以减轻这些风险，并因其成熟的供应链风险管理实践而被 Gartner评为年度医疗保健供应链排名前 25ii的医疗保健供应链管理 领导者。 网络供应链风险管理重点实践 ⚫ 集中供应链风险管理。分散的网络安全和供应链风险功能可能会导致事 件管理不一致和无效。 梅奥诊所通过将所有供应链风险责任集中到一 个第三方风险管理 （ TPRM） 团队中， 增强了传统的供应链风险管理 （ SCRM） 和网络供应链风险管理（ C-SCRM）。 ⚫ 严格的网络安全评估和文档。 梅奥诊所要求特定供应类别组中的供应商 每年进行渗透测试和严格的安全评估。 梅奥诊所在签订合同之前会先 检查供应商的产品设计细节和内部网络安全政策。 ⚫ 确定并利用供应商类别。许多供应网络过于复杂，无法采用 “一刀切” 的方式进行供应链风险管理。梅奥诊所根据所提供产品或服务的性质将 所有供应商分为六个供应类别组之一。每个 组的雇佣流程和合同条款与 条件分开，以确保供应商的要求与合规性和管理要求相 符合。 供应链风险和网络安全的组织方法 供应链管理 （ SCM） 组织是负责整个 梅奥诊所的采购和签约的中央机构。 SCM 将所有供应商划分为广泛的供应类别组，包括医疗设备，医疗 耗材，医疗器械， 服务，信息技术和药品，以支持每个类别的合规义务和特定管理要求。 在SCM内部负责管理 集中的供应链审核 /控制和业务连续性（ SCACBC）团队 所有六个供应类别组的 弹性供应链和网络供 应链风险 的财务。 SCACBC充当内部 审计团队，并与 梅奥诊所 的信息安全办公室（ OIS），IT，法律和法规遵从团队合 作，对精选的供应商进行风险评估。这些评估包括供应商风险分析，运营绩效指 标，外部威胁监控以及财务审计。这种统一的 SCRM做法简化了供应商管理，并 使SCM能够快速解决供应链事件或威胁。 梅奥诊所认为，集中化方法是成功进 行供应商风险管理的关键因素。 供应商管理 管理供应商关系的关键方面 梅奥诊所的供应商 雇佣流程是网络供应链风险管理的重要工具。根据合同， 供应商有义务遵守 梅奥诊所的信息安全计划， 或展示 如何通过缓解控制措施以应 对特殊要求。这些要求包括特定于其产品或服务类别组的网络安全，物理安全和 道德行为要求。这些要求 在许多潜在参与梅奥诊所iii，iv的供应商进行审查 之 前，条款是公开的 。 新供应商必须接受 梅奥诊所 的OIS进行的网络安全评估。 OIS会采访供应 商的信息安全人员，并查看内部政策，网络安全证明和流程文档，以确定供应商 是否符合为相关供应类别组建立 网络安全要求。 特别强调供应商对管制数据的处 理，第三方网络访问和安全软件开发实践。此外，复杂的医疗设备需要特殊的要 求，例如详细的设 计图，严格的脆弱性评估证据以及支持文档。 评估结束时， OIS将向SCM提供一份网络安全风险报告，该报告将协助业务 支持者根据该报告以及供应商的财务状况和监管状况做出采购决策。 供应商必须每年进行外部信息安全评估和渗透测试， 并且 梅奥诊所保留在供应商设施中验证 是否符合现场审核要求的权利。 如果 梅奥诊所不能有效缓解那些具有高度不稳定 或网络安全供应链风险的供应商，他们将拒绝 双方合作。 衡量供应商风险 梅奥诊所每年从成千上万的供应商那里购买产品和服务。 其中，不到 100个 供应商被认为是主要供应商。 对护理流程和业务连续性的潜在 影响是确定关键性 的关键因素。 梅奥诊所开发了一种专有的 流程，通过定性和定量输入的组合来确 定供应商之间的相对重要性。 对于长期战略计划做出贡献的产品供应商 具有更大 的重要性。 质量管理与持续改进 数字产品和服务的变化速度对医疗保健网络的网络供应链风险管理提出了 重大挑战。广泛的医疗设备和服务创建了动态的攻击面，需要罕见的专业知识才 能确定新威胁如何影响组织。 梅奥诊所通常会利用安全审核公司的外部专业知 识来减轻这些风险并开发内部能力。 高管层认为，网络供应链风险管理将继续对医疗保健行业构成重大挑战。首 席财务官，首席风险管理官，首 席信息官和首席信息安全官 正在开发下一代第三 方管理实践，以始终领先于威胁。该第三方风险管理计划将通过增强主动监视功 能，更全面的终止流程以及统一的供应商 雇佣流程，在整个供应商关系生命周期 中提供全面保护。 事件响应和恢复 梅奥诊所的网络安全和供应链事件响应计划的重点是持续的患者护理。 SCM 内有一个专门的业务连续性团队来管理供应链弹性事件， 这通常是 首先确定 由共 享供应商的其他医院和 健康网络。例如，当伊利诺伊州环境保护局于 2019年2 月关闭医疗用品灭菌公司 Sterigenicsv 时，梅奥诊所 的业务连续性团队积极聘 请依赖Sterigenics 的供应商来确定替代采购。 业务连续性团队 安全存储关键供应品的储备，以减轻供应链中断的影响。尽管大多数 梅奥诊所 设施都利用高效的 “及时”运营和供应交付，但是这些储备 可以部署到网络中的任何设施。 业务连续性团队与 OIS一起处理网络供应链事件， 例如减轻勒索软件对供应 商的影响。 OIS还负责检测并响应所有需要访问网络资源的供应商和产品的潜 在网络安全事件。 入职过程中提供的文件使 OIS可以详细了解给定供应商面临的 潜在攻击面。这些供应商提供其正式的事件响应计划和流程，从而使供应商与 OIS在事件发生期间进行有效的协作。 梅奥诊所的领导层一直在与其他集成的交付网络和医院合作， 以开发出更为 统一的方法来管理医疗保健行业中存在的供应链弹性问题。 梅奥诊所是网络供应 链风险管理社区的 积极参与者， 定期参与由 Gartner 和Vizient等组织主办的会 议和其他活动。 经验教训和改进机会 梅奥诊所建议对成熟或开发 C-SCRM计划感兴趣的公司建立一个负责整个组 织的中央风险管理团队。 零散的网络安全和供应链风险功能可能导致复杂而昂贵 的管理，以及不一致和无效的执行。该团队应通过聘请其他团队（例如内部信息 安全和合规团队）来利用现有的专业知识进行评估。 在设计C-SCRM路线图时， 梅奥诊所鼓励组织确保其程序具有以下要素： ⚫ 明确定义的治理，运营结构，政策和程序 ⚫ 专用TPRM软件平台 ⚫ 业务流程自动化以支持持续的 监控和升级 ⚫ 数据仓库，用于所有第三方参与，合同，访问和数据共享协议 ⚫ 系统的供应商离站和访问控制 ⚫ 全面包含硬件，软件，医疗设备，网络设备，数据共享，非员工访问和 研究系统 Mayo诊所认为成熟的组织变更管理和项目管理是成功实施 C-SCRM的重要推 动力。组织应意识到，增量的全职等效投资和 TPRM软件许可成本可能会很大。 C-SCRM可能是一项艰巨的任务，需要高层领导的高度团结和支持。 参考文献 i美国梅奥诊所医学院（ Alix）概述， 《美国新闻与世界报道》 ， https： //www.usnews.com/bestgraduate -schools/top -medical-schools/mayo - medical-school-04053， （于9月16日检索）20019） ii Gartner 公布了2017年医疗保健供应链排名， Gartner 排名前25位， https://www.gartner.com/en/newsroom/press -releases/2017 -11-16- gartner-announces-rankings -of-its-2017-healthcar e-supply-chain-top-25， （于2019年9月16日检索） iii梅奥诊所 供 应 商 信 息 https：//www.mayoclinic.org/about -mayo- clinic/supplier -information ， （于2019年9月16日检索） iv梅奥诊所 供应商资源 ，https：//www.mayoclinic.org/about -mayo- clinic/supplier -information/resour ces（2019年9月16日检索） v伊利