三、检查安排企业需要对其建立对供应链的控制的方法充满信心。 10. 将保证活动纳入供应链管理要求那些对供应链安全至关重要的供应商通过合同提供安全绩效的向上报告,并遵守任何风险管理政策和流程。 将“审计权”纳入所有合同并加以行使。要求供应商对他们签订的与合同和组织相关的任何合同执行同样的操作。(请注意,这可能并不总是可行或可取的,尤其是在与云服务相关的情况下)。 在合理的情况下,将 Cyber Essentials Plus、渗透测试、外部审计或正式安全认证等保证要求纳入安全要求。 建立关键绩效指标来衡量供应链安全管理实践的绩效。 审查任何发现和吸取的教训并采取行动。 鼓励供应商推广 良好的安全行为。
四、连续的提高
随着供应链的发展,需要继续改进和维护安全性。 11. 鼓励持续改进供应链内的安全性鼓励供应商继续改进他们的安全安排,强调这可能使他们能够与竞争并赢得未来的合同。这也将帮助发展供应链和选择潜在供应商。 在供应商寻求进行这些改进时为他们提供建议和支持。 避免为此类改进设置不必要的障碍:承认并准备承认他们可能拥有的任何现有安全实践或认证,以证明它们如何满足最低安全要求。 为供应商留出时间实现安全改进,但要求他们向组织提供时间表和计划,以证明他们打算如何实现这些目标。 倾听通过绩效监控、事件或供应商向上报告突出显示的任何问题并采取行动,这些问题可能表明当前方法未按计划有效运作。
12. 与供应商建立信任
|