网络安全知识：评估供应链安全实践优劣

了解供应商可能带来更广泛的供应链以及提供的产品和服务带来的风险了解供应商持有的信息的敏感性以及他们所支持的项目的价值。

对供应商可能带来更广泛的供应链及其提供的产品和服务带来的风险了解甚少。您不知道他们拥有什么数据，也不知道他们支持的项目的价值。

了解供应链的全部范围，包括分包商。

仅了解直接供应商，但对任何分包商的了解有限/不了解。

了解供应商的安全安排，并定期与他们接触，以确认他们继续有效地管理合同风险。

对供应链的安全状况没有真正的了解，但认为它们可能没问题。无法查看此状态。

对供应链进行控制，行使审核权和/或要求供应商向上报告，以提供一切正常运转的安全保证。审核请求并不是与供应商的第一次互动。

对供应链的控制薄弱，忽视分包，未能行使审计权，不寻求向上报告。通常，安全团队与供应商的第一次接触是在事件发生后进行审核。

根据对风险的评估和认为必要的保护，为供应商设定最低安全要求，告诉他们合同中的预期内容。

未能设定最低安全要求，让供应商自己做事，即使他们可能没有安全意识来了解需要什么，或者知道如何有效地做到这一点。或者设置最低安全要求，但未能将这些要求与风险评估相匹配-可能会使许多供应商无法实现安全。

区分将评估的风险与特定合同相匹配所需的保护级别。确保这些保护措施合理、相称且可实现。

为所有供应商制定不成比例的“一刀切”方法，无论合同和评估的风险如何。无法确保这些控制措施合理且可实现-可能导致供应商不与您竞争合同。

要求将您认为在每种情况下必要的保护措施传递到整个供应链。检查以确保它正在发生。

将安全问题留给直接供应商来管理，但未能强制执行和/或检查其发生情况。

履行作为供应商的责任（并在缺乏指导的情况下向客户提出要求）。向下传递客户的要求并向上提供报告。

忽视作为供应商的责任，或忽视任何缺乏客户指导的情况。未能向下传递要求，和/或未能向上提供报告。

为供应商应对事件提供一些指导和支持。交流经验教训，以便供应链中的其他人避免“已知问题”。

向供应商提供无事故支持。未能采取行动或发现“已知问题”可能影响供应链中其他人的地方，也未能就这些问题向其他人发出警告-可能会导致更大的破坏：已知问题影响了许多供应商。

促进供应商网络意识的提高。积极分享最佳实践以提高标准。鼓励供应商订阅免费的CISP威胁情报服务，以便更好地了解潜在威胁。

期望供应商预见到网络攻击的发展，无论其安全意识和能力如何，都很少或根本不提供支持或建议。

将保证措施纳入最低安全要求（例如Cyber Essentials Plus、审核和渗透测试）。这些提供了对供应商安全有效性的独立看法。

未能将保证措施纳入安全要求中，相信供应商会做正确的事情-无论他们是否有足够的知识或经验来了解对他们的期望。

监控现有安全措施的有效性。根据从事件中吸取的经验教训、保证活动的反馈或供应商对问题的反馈，准备好修改或取消被证明无效的控制措施。

未能监控安全措施的有效性。未能听取反馈。不愿意做出改变，即使支持这样做的证据是压倒性的。