本文是网络安全供应链风险管理(C-SCRM)系列文章的第五部分。.
In the previous post 在本系列中,我们讨论了为您的企业建立C-SCRM策略, and initial programme management tasks.
今天,我们将看看评估当前网络安全供应链所涉及的任务.
What would this assessment involve?
While programmes will vary slightly, depending on how far your in-house team has progressed, the likely initial tasks will be to:
- 如果此任务未作为先前程序设置的一部分执行,则绘制供应链
- 优先考虑供应的产品或服务类型,并根据类型确定相关的控制或要求
- Determine 起点:通常是优先级最高的供应商
- 为供应商制定问卷,以确保一致性
- 确定是否需要额外的工具和流程来支持您进行和记录您的发现
- 创建每个供应商的风险概况:通常基于他们使用的数据, or the criticality of their service to the business
- 根据产品或服务类型的安全要求,对现有供应商/供应的产品或服务进行差距分析
- 识别该产品或服务类型的相关控制或要求
- 考虑是否要依赖供应商的认证, or whether you’ll want to check for yourself; this may vary depending on the risk profile of each supplier
- 在适当和可能的情况下(考虑到合同限制)与供应商合作改进安全漏洞
- 准备每个供应商的合同更新(如果合适),以填补任何相关的合同空白.
Later tasks in the programme could include:
- Re-assess each supplier regularly based on risk profile
- Adjust risk profile as necessary
- Review the relevant security controls
- 继续与供应商合作改进安全漏洞
- Extend the process to lower priority suppliers.
Figure 2: Supplier risk management lifecycle
Considering outsourcing?
有时,您的供应商可能更喜欢独立的流程视图, 而不是让他们的客户——你——钻研他们的(可能敏感的)信息和工作方式.
如果您正在考虑将部分或全部的C-SCRM项目外包给外部顾问, there are several questions you should consider:
- Which of these could you do yourself? How much have you already done?
- What skills will your consultant need to have?
- 你的伴侣需要多少投入来支持他们完成这些任务?
- 您将如何为您的企业识别“高风险”供应商?哪些是“低风险”供应商?? 你的伴侣可以在这方面帮助你,但这值得提前考虑. For example, which of your suppliers are essential to your process, such that if they were unavailable, your core operations would have to stop?
- 你的供应商——你的第四方——的供应商怎么办? 了解供应商的供应链可能会发现多家公司依赖同一家供应商的潜在问题(称为集中风险)。. 虽然这并不一定与网络安全风险有关,但这可能是你应该考虑的风险.
- C-SCRM工作可能与业务连续性供应商分析工作相关——是否有人已经在从事这方面的工作, in your organisation? Can you share information between teams?
Potential challenges
C-SCRM isn’t easy and will take a while to put in place. There are number of potential challenges you may face:
- 你已经和你现有的供应商建立了合同关系,他们 可能不愿意(或不能)在合同中期做出改变——或者要求做出改变可能会让你付出高昂的代价
- 在您准备好更改之前,您的一些供应商可能已经接近合同到期/续签日期 renewal process; you will need to take this into account when creating a project plan.
- You may not have any leverage over some suppliers, perhaps because they are too big, 或者因为你没有和他们签订合同——考虑开源软件, as an example. 需要确定合适的控制(例如只使用经过审查和批准的开源库).
Remember, it is all about risk management. 你如何选择克服这些挑战取决于你自己.
What’s next?
在下一篇文章中,我们将讨论审查当前C-SCRM流程的任务. 如果你有足够的时间和资源,这可以与评估当前供应商的网络安全措施同时进行. 当然,如果你想在这些C-SCRM任务中得到帮助,那就去做吧 contact us to discuss your requirements.
About CSP
CSP是一家专业的安全咨询公司,帮助我们的客户驾驭这个日益互联的世界. Our team can:
- 根据您的情况,对安全要求提出建议
- 在每个阶段根据您的安全要求评估您的供应商:
- reviewing their responses to security questions
- reviewing security clauses in contracts
- 审核选定的供应商是否符合你们的安全要求.
- 与您合作,加强您的政策和流程,以提高整个采购过程的安全性.
