第 2 阶段：开发评估供应链网络安全的方法

了解关心的问题并确定其优先级，并为方法创建关键组件。

本节提出了一种评估供应链网络安全的方法，分为两部分：

·2a.了解关心的内容并确定其优先级

·2b.为方法创建关键组件

拥有现有成熟供应链网络安全方法的组织可能会发现NCSC的供应链原则很有用。

第 2a阶段：优先考虑组织的“皇冠上的宝石”

确定组织中最需要保护的关键方面（“皇冠上的宝石”），同时考虑潜在的威胁、漏洞、影响和组织的风险偏好。

第 2a 阶段的预期产出。

·清楚地了解组织最关键的方面，并确定需要供应商提供哪些保证才能保护他们的标准。

为此，考虑每个供应商可以访问的资源很有用。例如：

·供应商是否可以访问个人身份/商业敏感数据？

·供应商将在哪里处理和存储组织的数据和信息？

·供应商是否可以访问主要或关键业务资产？

·供应商是否可以通过其他权限访问和/或连接到组织的网络？

·供应商是否与可能对所在行业怀有敌意的政府或组织有任何联系？

还可以考虑可能的违规行为的影响：

·供应商是单点故障吗？供应商为您做了什么？

·通过供应商的违规行为是否会对组织的业务运营和/或流程产生不利影响？

·通过供应商的违规行为是否会对组织的声誉产生不利影响？

·通过供应商的违约行为是否会造成重大的财务和/或法律、监管或合同后果？

·违规行为会影响员工或客户的安全吗？

可以使用这些条件来定义一组供应商安全配置文件，并将它们从低到高分层（请参阅阶段 2b. 为方法创建关键组件）。使用的标准将因所在部门或组织的性质而异。

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 网络安全等级保护：等级保护测评过程及各方责任
3. 网络安全等级保护：政务计算机终端核心配置规范思维导图
4. 网络安全等级保护：什么是等级保护？
   
5. 网络安全等级保护：信息技术服务过程一般要求
6. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
7. 闲话等级保护：什么是网络安全等级保护工作的内涵？
8. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
9. 闲话等级保护：测评师能力要求思维导图
   
10. 闲话等级保护：应急响应计划规范思维导图
    
11. 闲话等级保护：浅谈应急响应与保障
    
12. 闲话等级保护：如何做好网络总体安全规划
    
13. 闲话等级保护：如何做好网络安全设计与实施
    
14. 闲话等级保护：要做好网络安全运行与维护
    
15. 闲话等级保护：人员离岗管理的参考实践
16. 信息安全服务与信息系统生命周期的对应关系
17. 工业控制系统安全：信息安全防护指南
18. 工业控制系统安全：工控系统信息安全分级规范思维导图
19. 工业控制系统安全：DCS防护要求思维导图
20. 工业控制系统安全：DCS管理要求思维导图
21. 工业控制系统安全：DCS评估指南思维导图
22. 工业控制安全：工业控制系统风险评估实施指南思维导图
23. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
24. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图

25. 数据安全风险评估清单

26. 成功执行数据安全风险评估的3个步骤

27. 美国关键信息基础设施数据泄露的成本

28. VMware 发布9.8分高危漏洞补丁

原文始发于微信公众号（祺印说信安）：供应链安全指南：了解关心的内容并确定其优先级