今天,我們就供應鏈安全,繼續探討。如果已經遵循良好的采購和合同實踐,以下提供可以考慮的其他因素,以便我們更好的評估供應鏈管理實踐的優劣好壞。
與供應商建立伙伴關系。如果組織供應商采用組織供應鏈安全方法作為他們自己的方法,那么與組織僅僅強制要求合規相比,成功的可能性要大得多。
不經協商就規定要求。
通過比傳統產品保證活動更早地開始討論安全性,讓供應商從一開始就考慮安全性。
只需將安全視為產品保證問題即可。
向供應商解釋實現所需安全改進的好處:即這些將滿足合規要求,或為供應商提供贏得其他合同的潛力。
只需告訴供應商該做什么,但不提供任何好處的解釋:因此,一些供應商可能不愿意競標合同。
考慮如何讓可能需要合法但臨時/偶爾和/或有限訪問業務的供應商這樣做,而不必遵守對供應商的最低安全要求。記錄這些約定的程序并就其使用對所有各方進行培訓。
不對這種情況做任何規定,要么要求他們滿足組織安全要求(即使他們對此沒有什么理由),要么忽略它并讓人們自己安排(希望一切順利)。
如有需要,制定通用合同工件(即風險評估和自我評估安全問卷)以支持合同流程并使組織的供應商能夠將這些信息傳遞給分包商。與供應商分享這些信息,并對所有員工進行使用培訓。
在簽約過程中提供很少/不提供建議,允許供應商做自己的事情-并且無法理解這在保證整體供應鏈安全方面的影響。
要求在適當的時間間隔對這些人工制品進行審查,例如在合同續簽時、發生重大變化時或在應對重大事件時。
擔心最初的合同,但對后續的合同續約興趣不大/沒有興趣:未能發現可能出現的變化/問題。
確保安全考慮是合同競爭過程的一個組成部分,并影響供應商的選擇。
要求供應商在合同競爭的各個階段提供其安全狀態和滿足最低安全要求的能力的適當證據:也許尋求基本保證供應商有能力滿足法律和監管要求,作為第一道門,在初始合同廣告,但隨著競爭范圍縮小到幾個首選投標人的選擇,需要更多的細節。
確保這些不會給潛在供應商帶來不必要的工作量——尤其是在合同的早期階段,因為有很多合同申請人。
只在簽約過程結束時擔心安全性-這些考慮因素對選擇供應商幾乎沒有影響。
要求提供超出需要、可以處理或將使用的更多信息:當潛在供應商贏得合同的機會很小時,可能會給他們帶來不必要的工作量。當供應商不以這些理由競爭合同時,會感到驚訝。
當使用自我評估安全問卷來幫助簽訂合同時,確保這符合設置的最低安全要求-并將供應商的工作量減少到必要的最低限度。僅當供應商進入合同后期階段并且是考慮簽訂合同的極少數供應商之一時才需要更詳細的信息。
只需清除一份現有的基于ISO27001的問卷,認為可能會這樣做,并讓供應商完成該問卷:即使這與使用的最低安全控制措施(即網絡基本要素或網絡安全10步)沒有相似之處。
沒有考慮這將為供應商帶來的工作量,也沒有尋求將要求與合同競爭階段相匹配。
允許供應商有時間實現所需的安全改進:制定風險標準來管理此過渡(即要求供應商提供安全改進計劃,說明將如何取得進展)并規定何時對進展進行檢查并應進行檢查。
設定不切實際的截止日期,或者沒有明確或一致的風險標準來告知無法在商定的時間范圍內進行這些改進的供應商的決策。這可能意味著無法與此類供應商合作-可能導致能力下降和供應商選擇減少。
確認供應商可能擁有的任何現有安全認證或先前/現有合同批準,并允許他們重復使用此類證據來證明這如何滿足某些最低安全要求。但是要適當地進行調查以確認情況確實如此。
忽略任何現有的安全認證或合同批準,這些要求供應商無論如何都要遵守最低安全要求。這可能會給供應商帶來不必要的工作和成本,從而損害這些關系。
期望所有供應商都實現CyberEssentials。
但請理解,一些供應商——即使是那些擁有ISO27001等現有安全認證的供應商,可能會發現難以滿足計劃的要求。但是,如果出于任何原因無法滿足計劃的要求,應該設法了解供應商正在采取哪些步驟來管理這些風險,例如通過替代業務流程或補償安全控制。應該檢查以確認這些是合適的。
期望所有供應商都實現CyberEssentials,但不考慮特殊情況,采取非黑即白的方法。不要承認任何困難并拒絕向發現CyberEssentials認證難以獲得的供應商授予合同,從而進一步損害自己的能力和供應商選擇。
提供選擇的最低安全要求與常見商業安全方案的映射,以幫助供應商重復使用證據,并幫助其他客戶評估等效性。這也將有助于供應商展示他們如何與國際計劃保持一致。
不提供支持,期望供應商自己進行映射:可能會增加工作量并導致不一致——可能會破壞客戶對他們提供的證據的信任。
監控并持續改進流程,停止或改進不成比例、無效或不合理的流程。
允許不成比例、無效或不合理的流程保持不變。未能聽取一致的、合理的改進要求。
