本文是网络安全供应链风险管理(C-SCRM)系列文章的第6部分。.
在上一篇文章中, 我们研究了网络安全供应商评估风险管理计划中的一个早期项目: 评估现有供应商. 在这篇文章中,我们将考虑供应商管理流程审查. 这是为了确保你的流程在整个合同期内都是合适的, 你可以控制自己的风险状况.
这些过程涵盖了供应商的入职, 然后在供应商参与你的业务的过程中对他们进行管理:
- 采购及入职
- 供应商生命周期管理
其目的是确保在每个过程的每个阶段都考虑到安全性——但只在相关的情况下. 如果你正在购买回形针和打印纸, 例如, 网络安全风险将很低(但并非不存在), 如果你在网上购买),不需要广泛的评估. 然而, 如果这是一个具有电子邮件访问权限和IT访问权限的可信供应商, 那么风险就会大大增加. 例如, 他们(或伪装成他们的人)可以通过电子邮件转发恶意软件,因为他们是可信的,你的员工更有可能接受电子邮件的表面价值,点击恶意链接或下载附加的恶意软件.
图2:供应商风险管理生命周期
采购及入职
C-SCRM计划的一个关键部分将是审查您当前的采购和入职流程, 确保将网络安全作为选择的一部分, 在合同协议中, 当一个新的供应商开始工作时.
需要考虑的问题包括:
- 你的采购过程是否将网络安全作为合适性的衡量标准? 例如, 您的初始风险评估——通常通过问卷进行——是否询问(如果相关的话):安全的开发生命周期? 渗透测试? 认证?
- 如果您将与供应商共享数据,您是否询问数据将存储在何处? 如何转账?
- 业务连续性:你们讨论服务的可用性吗, 他们的连续性计划是什么?
- 那合同呢?包括了吗, 例如, 进行安全审计的权利, 与安全相关的sla, 对分包商的控制要求流程(如适用), 以及修复任何安全漏洞的里程碑?
供应商生命周期管理(持续和退出)
一旦供应商向你提供产品或服务,审查供应商管理的当前流程将表明你是否考虑了供应商的网络安全. 不要忘记在合同最后考虑如何处理网络安全问题.
需要考虑的问题包括:
- 你们已经有哪些流程来对现有供应商进行风险评估?
- 这些是通过评估风险来区分的吗?
- 如果发生了网络安全事件(或者真的发生了?, 任何其他可能影响您的业务连续性的事件)?
- 你会考虑在合同的第二年和以后的几年里少花钱吗? 对安全性的持续检查可能与初始检查一样重要.
- 你如何在合同结束时确保你的供应商代表你处理的任何数据的安全性? 那要怎么进入你的建筑呢?
一旦审查完成, 应该清楚在供应链风险管理流程的网络安全方面存在哪些漏洞.
下一步将是确定这些差距是否可以弥合,如果可以,如何弥合. 实施新的控制和流程将是下一步.
外包的考虑
T在这里’s a lot to think about in this phase of the programme; outsourcing these tasks can reduce your own workload and ensure that the phase is completed on time.
请注意, 虽然, 无论谁代表你做这些工作,都需要你和你的员工的意见,以了解这些流程在你的业务中是如何运作的.
对CSP
CSP是一家专业的安全咨询公司,帮助我们的客户驾驭这个日益互联的世界. 我们的团队可以:
- 根据您的情况,对安全要求提出建议
- 在每个阶段根据您的安全要求评估您的供应商:
- 检查他们对安全问题的回答
- 审查合同中的担保条款
- 审核选定的供应商是否符合你们的安全要求.
- 与您合作,加强您的政策和流程,以提高整个采购过程的安全性.
