本文是网络安全供应链风险管理(C-SCRM)系列文章的第七部分。.
在之前的文章中,我们看到 评估现有供应商 而在 回顾您当前的供应链网络安全流程. 在这篇文章中, 我们将简要介绍实施新流程和嵌入供应商评估计划.
实施新流程
基于对你们当前C-SCRM流程的分析, 在您的内部流程或与外部供应商之间可能已经发现了一些差距. 下一步将是与供应商合作, 并在双方开发和实施新的流程和控制,以填补这些空白.
如前所述, 您将至少与您的供应商名单中的一些签订合同, 所以不可能改变你所有的安排. 然而, 你可以计划更新, 确定每个合同何时到期, 并确定您希望在任何新安排中插入哪些控件. 当然, 您可以为自己的环境识别和实现临时控制, 弥补供应商控制上的差距,降低你的风险.
在某一时刻, 你们的每一个供应商都应该达到合同期限, C-SCRM将在你的优先供应商中实施. 如果你还没有开始, 在这个阶段,你们可以扩大这个计划,使其涵盖更多的供应商.
重要的是,不仅要继续审查供应商的网络安全措施, 还包括你们的C-SCRM项目的流程,以继续改进项目.
将C-SCRM嵌入您的业务
组织中不同团队或部门之间的密切合作和协调可以改善网络安全风险的管理. 一旦初始设置阶段完成,确保C-SCRM仍然嵌入到您的业务中将是一个持续的过程.
需要考虑的因素包括:
- 对当前流程的任何更改的集成需要包括C-SCRM
- 确保员工具备C-SCRM技能,并对其角色有适当的理解, 提供必要的培训和意识
- 在考虑C-SCRM的情况下,实施任何修订的程序. 例如,你应该考虑:
- 采购和供应商管理,如前所述
- 软件开发生命周期的安全性,如果相关的话.
- 将C-SCRM集成到采购实践中使用的合同语言中
- 制定流程以确保您的供应商向您披露已识别的任何漏洞
- 在业务连续性和事件响应准备中纳入优先供应商, 计划和测试
- 在供应商发生网络安全事件时实施响应计划
- 定义, 集合, 以及指标报告, 这样你就可以衡量C-SCRM项目的持续绩效.
确保C-SCRM项目的安全
而您的C-SCRM计划旨在通过管理网络安全风险来帮助确保您的供应链, 该计划可能会出现一些潜在风险.
例如, 如果您要求每个供应商提供有关其安全实践和技术基础设施的信息, 然后存储文档, 如果文件被威胁行为者获取,供应链可能会面临风险. 考虑是否需要保留这些信息,或者是否需要为所有供应商保留这些信息. 如果您确实需要保留它,请考虑如何保护它,以及应该保存多长时间. 如果你在要求供应商提供有关他们自己的信息时向他们解释这一点, 这将使他们对你自己的安全措施放心.
寻找更多信息?
的新添加的Govern功能 NIST网络安全框架v2 包括C-SCRM, 并讨论了第三方网络安全风险, 包括框架层级草案. This document will be a useful resource and is worth reading if you’d like more information; another is the NIST C-SCRM document NIST SP 800-161r1: 系统和组织的网络安全供应链风险管理实践s. 您可以在他们的 资源中心.
国家网络安全中心有很多 资讯及指引 可用. 他们提供了供应链风险的介绍, 管理您的供应链的最佳实践指南, 以及新的(免费的)供应链管理培训包.
在CSP,我们很乐意讨论您对业务中网络安全供应链风险的担忧. 请致电0113 5323763,了解我们如何提供帮助.
对CSP
CSP是一家专业的安全咨询公司,帮助我们的客户驾驭这个日益互联的世界. 我们的团队可以:
- 根据您的情况,对安全要求提出建议
- 在每个阶段根据您的安全要求评估您的供应商:
- 检查他们对安全问题的回答
- 审查合同中的担保条款
- 审核选定的供应商是否符合你们的安全要求.
- 与您合作,加强您的政策和流程,以提高整个采购过程的安全性.
