本文是网络安全供应链风险管理(C-SCRM)系列文章的第五部分。.
在 以前的文章 在本系列中,我们讨论了为您的企业建立C-SCRM策略, 以及初始的项目管理任务.
今天,我们将看看评估当前网络安全供应链所涉及的任务.
这个评估包括什么?
虽然课程会略有不同, 这取决于你的内部团队的进展, 最初可能的任务是:
- 如果此任务未作为先前程序设置的一部分执行,则绘制供应链
- 优先考虑供应的产品或服务类型,并根据类型确定相关的控制或要求
- 确定 起点:通常是优先级最高的供应商
- 为供应商制定问卷,以确保一致性
- 确定是否需要额外的工具和流程来支持您进行和记录您的发现
- 创建每个供应商的风险概况:通常基于他们使用的数据, 或者他们的服务对企业的重要性
- 根据产品或服务类型的安全要求,对现有供应商/供应的产品或服务进行差距分析
- 识别该产品或服务类型的相关控制或要求
- 考虑是否要依赖供应商的认证, or whether you’ll want to check for yourself; this may vary depending on the risk profile of each supplier
- 在适当和可能的情况下(考虑到合同限制)与供应商合作改进安全漏洞
- 准备每个供应商的合同更新(如果合适),以填补任何相关的合同空白.
该方案的后续任务可能包括:
- 根据风险情况定期对供应商进行重新评估
- 必要时调整风险概况
- 检查相关的安全控制
- 继续与供应商合作改进安全漏洞
- 将流程扩展到较低的优先级 供应商.
图2:供应商风险管理生命周期
考虑外包?
有时,您的供应商可能更喜欢独立的流程视图, 而不是让他们的客户——你——钻研他们的(可能敏感的)信息和工作方式.
如果您正在考虑将部分或全部的C-SCRM项目外包给外部顾问, 你应该考虑以下几个问题:
- 你自己能做哪一件事? 有多少 你已经做完了吗??
- 你的顾问需要具备哪些技能?
- 你的伴侣需要多少投入来支持他们完成这些任务?
- 您将如何为您的企业识别“高风险”供应商?哪些是“低风险”供应商?? 你的伴侣可以在这方面帮助你,但这值得提前考虑. 例如, 哪些供应商对您的流程至关重要, 这样,如果他们没有, 你的核心业务必须停止?
- 你的供应商——你的第四方——的供应商怎么办? 了解供应商的供应链可能会发现多家公司依赖同一家供应商的潜在问题(称为集中风险)。. 虽然这并不一定与网络安全风险有关,但这可能是你应该考虑的风险.
- C-SCRM工作可能与业务连续性供应商分析工作相关——是否有人已经在从事这方面的工作, 在你的组织里? 可以 你在团队之间共享信息?
潜在的挑战
C-SCRM并不容易,需要一段时间才能落实到位. 你可能会面临一些潜在的挑战:
- 你已经和你现有的供应商建立了合同关系,他们 可能不愿意(或不能)在合同中期做出改变——或者要求做出改变可能会让你付出高昂的代价
- 在您准备好更改之前,您的一些供应商可能已经接近合同到期/续签日期 renewal process; you will need to take this into account when creating a project plan.
- 你可能对一些供应商没有任何影响力, 也许是因为它们太大了, 或者因为你没有和他们签订合同——考虑开源软件, 举个例子. 需要确定合适的控制(例如只使用经过审查和批准的开源库).
记住,这都是全球最大的博彩平台风险管理的. 你如何选择克服这些挑战取决于你自己.
接下来是什么?
在下一篇文章中,我们将讨论审查当前C-SCRM流程的任务. 如果你有足够的时间和资源,这可以与评估当前供应商的网络安全措施同时进行. 当然,如果你想在这些C-SCRM任务中得到帮助,那就去做吧 全球最大的博彩平台 讨论您的需求.
对CSP
CSP是一家专业的安全咨询公司,帮助我们的客户驾驭这个日益互联的世界. 我们的团队可以:
- 根据您的情况,对安全要求提出建议
- 在每个阶段根据您的安全要求评估您的供应商:
- 检查他们对安全问题的回答
- 审查合同中的担保条款
- 审核选定的供应商是否符合你们的安全要求.
- 与您合作,加强您的政策和流程,以提高整个采购过程的安全性.
