网络安全之供应链安全:评估供应链管理实践

今天,我们就供应链安全,继续探讨。如果已经遵循良好的采购和合同实践,以下提供可以考虑的其他因素,以便我们更好的评估供应链管理实践的优劣好坏。

好的

坏的

与供应商建立伙伴关系。如果组织供应商采用组织供应链安全方法作为他们自己的方法,那么与组织仅仅强制要求合规相比,成功的可能性要大得多。

不经协商就规定要求。

通过比传统产品保证活动更早地开始讨论安全性,让供应商从一开始就考虑安全性。

只需将安全视为产品保证问题即可

向供应商解释实现所需安全改进的好处:即这些将满足合规要求,或为供应商提供赢得其他合同的潜力。

只需告诉供应商该做什么,但不提供任何好处的解释:因此,一些供应商可能不愿意竞标合同。

考虑如何让可能需要合法但临时/偶尔和/或有限访问业务的供应商这样做,而不必遵守对供应商的最低安全要求。记录这些约定的程序并就其使用对所有各方进行培训。

不对这种情况做任何规定,要么要求他们满足组织安全要求(即使他们对此没有什么理由),要么忽略它并让人们自己安排(希望一切顺利)。

如有需要,制定通用合同工件(即风险评估和自我评估安全问卷)以支持合同流程并使组织的供应商能够将这些信息传递给分包商。与供应商分享这些信息,并对所有员工进行使用培训。

在签约过程中提供很少/不提供建议,允许供应商做自己的事情-并且无法理解这在保证整体供应链安全方面的影响。

要求在适当的时间间隔对这些人工制品进行审查,例如在合同续签时、发生重大变化时或在应对重大事件时。

担心最初的合同,但对后续的合同续约兴趣不大/没有兴趣:未能发现可能出现的变化/问题。

确保安全考虑是合同竞争过程的一个组成部分,并影响供应商的选择。

要求供应商在合同竞争的各个阶段提供其安全状态和满足最低安全要求的能力的适当证据:也许寻求基本保证供应商有能力满足法律和监管要求,作为第一道门,在初始合同广告,但随着竞争范围缩小到几个首选投标人的选择,需要更多的细节。

确保这些不会给潜在供应商带来不必要的工作量——尤其是在合同的早期阶段,因为有很多合同申请人。

只在签约过程结束时担心安全性-这些考虑因素对选择供应商几乎没有影响。

要求提供超出需要、可以处理或将使用的更多信息:当潜在供应商赢得合同的机会很小时,可能会给他们带来不必要的工作量。当供应商不以这些理由竞争合同时,会感到惊讶。

当使用自我评估安全问卷来帮助签订合同时,确保这符合设置的最低安全要求-并将供应商的工作量减少到必要的最低限度。仅当供应商进入合同后期阶段并且是考虑签订合同的极少数供应商之一时才需要更详细的信息。

只需清除一份现有的基于ISO27001的问卷,认为可能会这样做,并让供应商完成该问卷:即使这与使用的最低安全控制措施(即网络基本要素或网络安全10步)没有相似之处。

没有考虑这将为供应商带来的工作量,也没有寻求将要求与合同竞争阶段相匹配。

允许供应商有时间实现所需的安全改进:制定风险标准来管理此过渡(即要求供应商提供安全改进计划,说明将如何取得进展)并规定何时对进展进行检查并应进行检查。

设定不切实际的截止日期,或者没有明确或一致的风险标准来告知无法在商定的时间范围内进行这些改进的供应商的决策。这可能意味着无法与此类供应商合作-可能导致能力下降和供应商选择减少。

确认供应商可能拥有的任何现有安全认证或先前/现有合同批准,并允许他们重复使用此类证据来证明这如何满足某些最低安全要求。但是要适当地进行调查以确认情况确实如此。

忽略任何现有的安全认证或合同批准,这些要求供应商无论如何都要遵守最低安全要求。这可能会给供应商带来不必要的工作和成本,从而损害这些关系。

期望所有供应商都实现CyberEssentials

但请理解,一些供应商——即使是那些拥有ISO27001等现有安全认证的供应商,可能会发现难以满足计划的要求。但是,如果出于任何原因无法满足计划的要求,应该设法了解供应商正在采取哪些步骤来管理这些风险,例如通过替代业务流程或补偿安全控制。应该检查以确认这些是合适的。

期望所有供应商都实现CyberEssentials,但不考虑特殊情况采取非黑即白的方法。不要承认任何困难并拒绝向发现CyberEssentials认证难以获得的供应商授予合同,从而进一步损害自己的能力和供应商选择。

提供选择的最低安全要求与常见商业安全方案的映射,以帮助供应商重复使用证据,并帮助其他客户评估等效性。这也将有助于供应商展示他们如何与国际计划保持一致。

不提供支持,期望供应商自己进行映射:可能会增加工作量并导致不一致——可能会破坏客户对他们提供的证据的信任。

监控并持续改进流程,停止或改进不成比例、无效或不合理的流程。

允许不成比例、无效或不合理的流程保持不变。未能听取一致的、合理的改进要求。

参考来源:英国国家网络安全中心官网

(0)

相关推荐

  • SCMP供应链管理专家

    供应链管理专家SCMP项目简介 国内权威的供应链管理认证项目! "供应链管理专家"职业水平认证项目! Certification for Supply Chain Manageme ...

  • OT团队实施工厂网络安全十全攻略——误区、技术、评估、路线图

    图片来源:艾默生 作者:Alexandre Peixoto,Rick Gorskie, " 通过制定简单策略,从网络风险评估中获取最大价值.本文重点介绍运营技术(OT)团队在进行评估时应避免 ...

  • 工程项目招投标及商务谈判技巧--魏及淇老师

    工程项目招投标及商务谈判技巧   在当前经济环境下,如何加强企业工程项目招投标管理?如何降低采购的各项成本?如何利用招投标进行"砍价"?如何提高商务谈判的技巧? 如何有效控制项目成 ...

  • 网络安全之供应链安全:评估供应链安全

    下表提供了一系列用于衡量供应链安全性的场景.这个想法是给我们一些具体的参考例子,说明供应链安全的好坏,帮助我们了解自己的供应链安全情况. 好的 坏的 了解供应商可能给组织.更广泛的供应链以及提供的产品 ...

  • 供应链商品域DDD实践

    前言 DDD是一套方法论,实践能否成功,我觉得不仅仅是个技术问题,更是执行贯彻实施的问题. 本文内容主要有两部分,DDD基本概念和DDD实施.基本概念包括通用语言.分层架构.DDD要素.边界上下文,D ...

  • 资产管理在网络安全运营中的应用与实践

    目前大部分单位都无法准确地说出需要保护的资产数量,互联网暴露面很难梳理清楚,出现安全事件后无法第一时间定为到责任人,这些可以说是当前大部分组织的资产管理现状. 互联网暴露面收敛.安全漏洞修复与验证.威 ...

  • 【观世界之趋势】工业4.0下的 智慧供应链绩效评估

    关于工业4.0,本刊此前也就该话题采访了中国知名专家教授,本期将再度讨论这个话题,从更多角度补充对工业4.0的认知.   文|中国台湾全球商贸运筹发展协会  福建工程学院交通运输学院 徐志宏.吴少雄 ...

  • 网络安全之供应链安全(一)

    介绍今天我们一起探讨提高组织对供应链安全的认识,并通过继续采用良好实践帮助提高这方面的基本能力水平.大多数组织依靠供应商来交付产品.系统和服务.自己可能有许多供应商,这就是我们开展业务的方式. 供应链 ...

  • 网络安全之供应链安全(二)

    上次我们在<网络安全之供应链安全(一)>谈到了了解风险,今天我们探讨第二部分"建立控制". 二.建立控制 本文的原则将帮助组织获得并保持对供应链的控制.一旦组织能够更好 ...

  • 网络安全之供应链安全(三)

    三.检查安排 企业需要对其建立对供应链的控制的方法充满信心. 10. 将保证活动纳入供应链管理 要求那些对供应链安全至关重要的供应商通过合同提供安全绩效的向上报告,并遵守任何风险管理政策和流程. 将& ...

  • 网络安全之供应链安全:第三方软件供应商

    了解通过第三方软件供应商发起的供应链攻击示例,其中合法的工业控制系统可能被"木马化".自2011年以来,被称为 Dragonfly(也称为 Energetic Bear.Havex ...

  • 网络安全之供应链安全:水坑攻击

    "水坑攻击",黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个"水坑(陷阱)".最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网 ...