网络安全之供应链安全：评估供应链管理实践

与供应商建立伙伴关系。如果组织供应商采用组织供应链安全方法作为他们自己的方法，那么与组织仅仅强制要求合规相比，成功的可能性要大得多。

不经协商就规定要求。

通过比传统产品保证活动更早地开始讨论安全性，让供应商从一开始就考虑安全性。

只需将安全视为产品保证问题即可。

向供应商解释实现所需安全改进的好处：即这些将满足合规要求，或为供应商提供赢得其他合同的潜力。

只需告诉供应商该做什么，但不提供任何好处的解释：因此，一些供应商可能不愿意竞标合同。

考虑如何让可能需要合法但临时/偶尔和/或有限访问业务的供应商这样做，而不必遵守对供应商的最低安全要求。记录这些约定的程序并就其使用对所有各方进行培训。

不对这种情况做任何规定，要么要求他们满足组织安全要求（即使他们对此没有什么理由），要么忽略它并让人们自己安排（希望一切顺利）。

如有需要，制定通用合同工件（即风险评估和自我评估安全问卷）以支持合同流程并使组织的供应商能够将这些信息传递给分包商。与供应商分享这些信息，并对所有员工进行使用培训。

在签约过程中提供很少/不提供建议，允许供应商做自己的事情-并且无法理解这在保证整体供应链安全方面的影响。

要求在适当的时间间隔对这些人工制品进行审查，例如在合同续签时、发生重大变化时或在应对重大事件时。

担心最初的合同，但对后续的合同续约兴趣不大/没有兴趣：未能发现可能出现的变化/问题。

确保安全考虑是合同竞争过程的一个组成部分，并影响供应商的选择。

要求供应商在合同竞争的各个阶段提供其安全状态和满足最低安全要求的能力的适当证据：也许寻求基本保证供应商有能力满足法律和监管要求，作为第一道门，在初始合同广告，但随着竞争范围缩小到几个首选投标人的选择，需要更多的细节。

确保这些不会给潜在供应商带来不必要的工作量——尤其是在合同的早期阶段，因为有很多合同申请人。

只在签约过程结束时担心安全性-这些考虑因素对选择供应商几乎没有影响。

要求提供超出需要、可以处理或将使用的更多信息：当潜在供应商赢得合同的机会很小时，可能会给他们带来不必要的工作量。当供应商不以这些理由竞争合同时，会感到惊讶。

当使用自我评估安全问卷来帮助签订合同时，确保这符合设置的最低安全要求-并将供应商的工作量减少到必要的最低限度。仅当供应商进入合同后期阶段并且是考虑签订合同的极少数供应商之一时才需要更详细的信息。

只需清除一份现有的基于ISO27001的问卷，认为可能会这样做，并让供应商完成该问卷：即使这与使用的最低安全控制措施（即网络基本要素或网络安全10步）没有相似之处。

没有考虑这将为供应商带来的工作量，也没有寻求将要求与合同竞争阶段相匹配。

允许供应商有时间实现所需的安全改进：制定风险标准来管理此过渡（即要求供应商提供安全改进计划，说明将如何取得进展）并规定何时对进展进行检查并应进行检查。

设定不切实际的截止日期，或者没有明确或一致的风险标准来告知无法在商定的时间范围内进行这些改进的供应商的决策。这可能意味着无法与此类供应商合作-可能导致能力下降和供应商选择减少。

确认供应商可能拥有的任何现有安全认证或先前/现有合同批准，并允许他们重复使用此类证据来证明这如何满足某些最低安全要求。但是要适当地进行调查以确认情况确实如此。

忽略任何现有的安全认证或合同批准，这些要求供应商无论如何都要遵守最低安全要求。这可能会给供应商带来不必要的工作和成本，从而损害这些关系。

期望所有供应商都实现CyberEssentials。

但请理解，一些供应商——即使是那些拥有ISO27001等现有安全认证的供应商，可能会发现难以满足计划的要求。但是，如果出于任何原因无法满足计划的要求，应该设法了解供应商正在采取哪些步骤来管理这些风险，例如通过替代业务流程或补偿安全控制。应该检查以确认这些是合适的。

期望所有供应商都实现CyberEssentials，但不考虑特殊情况，采取非黑即白的方法。不要承认任何困难并拒绝向发现CyberEssentials认证难以获得的供应商授予合同，从而进一步损害自己的能力和供应商选择。

提供选择的最低安全要求与常见商业安全方案的映射，以帮助供应商重复使用证据，并帮助其他客户评估等效性。这也将有助于供应商展示他们如何与国际计划保持一致。

不提供支持，期望供应商自己进行映射：可能会增加工作量并导致不一致——可能会破坏客户对他们提供的证据的信任。

监控并持续改进流程，停止或改进不成比例、无效或不合理的流程。

允许不成比例、无效或不合理的流程保持不变。未能听取一致的、合理的改进要求。