网络安全知识：英国的评估供应链管理实践

与您的供应商建立合作伙伴关系。 如果您的供应商采用您的供应链安全方法作为他们自己的方法，那么与您简单地强制合规相比，成功的潜力要大得多。

不经协商就规定要求。

向供应商解释实现所需安全改进的好处：即这些将满足合规性要求，或为供应商提供赢得其他合同的潜力。

只需告诉您的供应商要做什么，但不提供任何好处的解释：因此，一些供应商可能不愿意投标合同。

确保安全考虑是合同竞争过程的一个组成部分，并影响供应商的选择。

要求供应商在合同竞争的各个阶段提供其安全状态和满足最低安全要求的能力的适当证据：也许在初始合同时寻求供应商满足法律和监管要求的能力的基本保证，作为第一道关卡广告，但随着竞争缩小到几个优先投标人的选择，需要更多细节。

确保这些不会给潜在供应商带来不必要的工作量——特别是在合同签订的早期阶段，当有很多合同申请人时。

只需在签约过程结束时担心安全性 - 这些考虑因素对您选择供应商的影响不大。

要求提供超出您需要、可以处理或将使用的信息：当潜在供应商赢得合同的机会很小时，可能会给他们带来不必要的工作量。当供应商不以这些理由争夺合同时，你会感到惊讶。

只需重新整理 您认为可能会做的现有基于 ISO27001 的调查问卷，并让供应商完成该调查：即使这与您使用的最低安全控制措施（即网络要素或网络安全 10 个步骤）没有相似之处。

没有考虑到这会给供应商带来的工作量，也没有寻求将您的要求与合同竞争阶段相匹配。

让供应商有时间实现所需的安全改进： 制定风险标准来管理此过渡（即要求供应商提供安全改进计划，说明如何取得进展），并规定何时进行和应执行进度检查。

设定不切实际的最后期限， 或者没有明确或一致的风险标准来为无法在商定的时间范围内做出这些改进的供应商提供决策依据。这可能意味着您无法与此类供应商合作——可能会导致能力下降和供应商选择减少。

承认供应商可能拥有的任何现有安全认证 或先前/现有合同批准，并允许他们重新使用此类证据来证明这如何满足您的一些 最低安全要求。但要适当地进行调查以确认情况确实如此。

忽略任何现有的安全认证或合同批准，无论如何都要求供应商满足您的 最低安全要求 。这可能会给供应商带来不必要的工作和成本，从而损害这些关系。

期望所有供应商实现 Cyber Essentials。

但请理解，一些供应商（即使是那些拥有 ISO27001 等现有安全认证的供应商）可能会发现很难满足该计划的要求。然而，如果由于某种原因无法满足计划的要求，您应该设法了解供应商正在采取哪些步骤来管理这些风险，例如通过替代业务流程或补偿安全控制。您应该检查以确认这些是否合适。

监控并持续改进流程，停止或改进不相称、无效或不合理的流程。

允许不成比例、无效或不合理的流程保持不变。未能倾听一致、合理的改进要求。