第

4

階段：將方法整合到現有供應商合同中

採用新方法後，在續簽時或儘快審查現有合同（涉及關鍵供應商）。

第

4

階段的預期產出。

·

記錄所有供應商的登記冊。

·

根據定義的安全控制措施對

“

高優先順序

”

供應商進行風險評估

·

確定存在安全缺陷的供應商，並商定提高其安全性的計劃。

·

根據從活動中吸取的經驗教訓改進方法。

·

根據定義的指標定期衡量績效，董事會成員可以看到這些指標。

第

4

階段的步驟：

步驟

1

：確定現有合同

步驟

2

：風險評估並確定合同的優先順序

步驟

3

：支援供應商

步驟

4

：檢視合同條款

步驟

5

：監控供應商安全績效

步驟

6

：向董事會報告進度

步驟 1：確定現有合同

建立組織正在與之合作的所有供應商的登記冊。如果供應商是透過各種來源簽訂合同的，這可能並不簡單，因此請考慮要求財務部門提供有關在特定時間範圍內已付款的任何供應商的資訊。至少應該確定關鍵供應商。

步驟 2 ：風險評估並確定合同的優先順序

對現有合同進行風險評估並確定其優先順序，重點關注關鍵業務職能和高網路風險領域。按優先順序順序對這些合同進行評估，直到確信已評估核心供應商隊伍。

我已經簽訂了供應商合同，但他們還沒有經過標準的網路安全風險評估流程。我應該如何評估它們？

供應商風險評估步驟

1。

建立一個能夠評估供應商合同對組織的網路安全風險的團隊。參與風險評估的團隊可能會有所不同，例如，不同的資料所有者將對自己的專業領域有看法。

2。

彙總當前與之合作的所有一級供應商的列表。確定哪些業務部門可能與供應商以及採購和商業團隊合作。

3。

建立供應商登記冊並將其整合到組織流程中，以便自動新增新的供應商。

4。

進行初始過濾並專注於有意義的風險領域。如果合同工作需要很少或不需要資料，是純貨物型別的合同，剩餘的執行時間非常有限，或者不是可能與網路攻擊相關的

IT

服務或交付型別，則可以從需要徹底的網路安全風險評估中過濾掉這些。

5。

根據指定風險級別時確定的標準為每個供應商提供初始風險評級，以幫助確定優

先級。有關風險級別的詳細資訊，請參閱階段 2 開發評估供應鏈網路安全的方法。

6。

按優先順序對組織進行風險評估，並根據其風險狀況對該供應商進行評估，檢查供應商是否符合該風險水平的預期控制措施。

7。

對於任何新合同，確定供應商的風險級別，並在採購決策過程中進行評估。

我如何瞭解我的供應鏈中是否存在網路安全風險，而不僅僅是我的直接供應商？

供應鏈漏洞可能存在於供應鏈中的任何地方，而不僅僅是最明顯的直接供應商。可以採取以下一些步驟來應用重點方法來了解供應鏈中的系統性風險。

確定直接供應商以及他們為您做什麼

無論組織規模大小，瞭解與誰有直接合同、他們為您提供哪些產品和服務以及他們可以訪問哪些資訊都至關重要。如果尚不知道這一點，請將此任務作為要完成的最高優先順序任務。瞭解供應商做什麼以及他們可以訪問什麼將初步表明他們對您組織的安全有多重要。

與供應商合作，構建更大的圖景

要求直接供應商既確定其供應商，又將請求傳遞給他們以識別其他相關供應商。提供明確的說明，以指導他們期望走多遠以及風險評估的範圍是什麼。隨著更多資訊的顯示，更新供應鏈地圖。

對確定的供應商進行風險分析

既然已經確定了擴充套件供應鏈中關心的供應商並確定了其優先順序，就可以確定與風險相稱的適當評估方法和頻率，就像對待直接供應商一樣。

將供應鏈對映活動指定到供應商合同中

由於這項任務可能需要的承諾水平，供應鏈對映要求應在與直接供應商簽訂的合同中指定和闡明。這需要預先考慮獲取資訊的必要性與獲取資訊的成本：

·

是否需要知道鏈中分包商和供應商的名稱，以及他們的合規程度如何？需要在供應鏈下游走多遠？這可能是由為組織完成的工作是否已分包決定的。究竟分包了什麼，考慮到組織的風險標準，其重要性是什麼？

·

是否只需要確認鏈條下游的分包商和供應商已滿足必要的網路安全控制（而不透露他們是誰的詳細資訊）？一些直接供應商可能不願透露其分包商或供應商是誰，因為這可能造成商業上的不利。

·

所有這些資訊應該如何提供給您？怎麼知道什麼時候完成？儲存在哪裡？多久檢查一次更改？

瞭解約束，預先定義要求，並在必要時在合同中指定該規定將允許您定義適合組織的流程。

如何管理單點故障？

有兩個關鍵因素可能會影響擴充套件供應鏈的使用

；

集中風險和彈性風險。

集中風險：

依賴單一供應商、部門或地點而產生的風險。建立關鍵供應商供應鏈列表後，對最可能的風險結果進行建模。

對於任何被視為高度集中風險的供應商，如果風險成為現實，將會產生什麼影響？如果這會對運營能力產生重大影響，那麼詢問供應商如何管理彈性風險或尋求替代供應商組合可能會有所幫助。

彈性風險：

企業能否在保持持續業務運營的同時適應中斷，例如在網路攻擊之後？

請與供應商核實他們針對可能的不利條件制定了哪些計劃，一些示例可能包括：

·

網路事件響應計劃

/IT

事件管理流程

·

網路受損資料恢復計劃

·

災難恢復計劃

·

應急響應計劃（包括流行病管理、惡劣天氣、季節性準備計劃）

·

第三方供應鏈

/

中斷計劃

如何管理可能構成更高風險的供應商？

由於各種原因，供應商可能被視為高風險。其中包括：

·

在英國市場的戰略地位

/

規模

·

供應商工程實踐

/

網路安全控制的質量和透明度

·

與賣方的所有權和經營地點有關過往行為和考慮因素

·

供應商可能受到投資者或國家的影響，並可能遵守與英國法律相沖突的國內法律

重要的是要了解是否有任何供應商從這個角度可能被視為風險較高，並明確地為他們建立風險管理方法。

步驟 3：支援供應商

如果發現現有供應商在管理網路安全風險方面存在不足，應該討論糾正此問題所需的步驟。它可以記錄在安全管理計劃中。

步驟 4：檢視合同條款

如果與供應商簽訂的合同沒有涉及在合同期限內進行評估的能力（或瞭解分包商的網路安全狀況），需要了解在

“

盡最大努力

”

的基礎上可以實現的目標，直到這具有合同約束力。在此之後，後續步驟與

中描述的最後兩個步驟相同

第

3

階段

將該方法應用於新的供應商關係

。

步驟 5：監控供應商安全績效

根據上面的指導

將該方法應用於新的供應商關係

。

步驟6：向董事會報告進度

根據上面的指導

將該方法應用於新的供應商關係

。

供應鏈安全指南：為方法建立關鍵元件

最常見的20種網路安全攻擊型別

良好資料安全實踐推動資料治理的 7 種方式

網路安全等級保護：淺談商用密碼安全保護是等級保護的一部分

網路安全術語之後門篇