组织如何映射其供应链依赖关系,以便更好地理解和管理供应链中的风险。 介绍本指南面向大中型组织,他们需要获得信心或保证缓解与供应商合作相关的漏洞已到位。 什么是供应链映射?供应链映射 (SCM) 是记录、存储和使用从公司供应链中涉及的供应商收集的信息的过程。目标是对您的供应商网络有最新的了解,以便更有效地管理网络风险,并进行尽职调查。 许多组织依靠供应商来交付产品、系统和服务。供应链通常庞大而复杂,有效地保护供应链可能很困难,因为脆弱性可能在其中的任何一点是固有的、引入的或被利用的。这使得很难知道您是否在整个供应链中拥有足够的保护。 注:SCM遵循一切良好风险管理的原则;组织需要了解其供应链中固有的风险,然后引入与这些风险具体化的可能性(和影响)成比例的安全措施。 供应链管理的好处了解供应商是谁、提供什么以及如何提供将帮助管理可能出现的网络安全风险。映射供应链可以根据风险做出更明智的业务决策,具体而言:
不可能完全根除供应链攻击。如果出现风险,能够快速响应将限制对组织造成损害的范围。 SCM 应包含哪些信息?以一致的方式收集有关供应商的信息并将其存储在访问受控的集中存储库中,将确保更易于分析和维护。这最终将能够更好地管理风险,因为将全面了解始终保持最新状态的供应链。 可能有用的典型信息包括:
获取这些信息可能是一项艰巨的任务,尤其是对于拥有复杂供应链的大型组织而言。 注意:此信息对攻击者来说是一个很有吸引力的目标,因此所有 SCM 资产都应保存在一个安全的存储库中,该存储库具有支持其设计的强大安全架构。 映射供应商的工具有关现有供应商的信息可能已经存在于采购系统中。如果供应商有多个入口点,则需要汇总相关信息。根据组织的规模,考虑商业工具可能会有所帮助,这些工具可以:
供应链中的分包商供应链中任何地方存在的漏洞,无论是在您的直接供应商中,还是在他们分包给的供应商中,都可能影响组织。对于大型组织而言,围绕了解主要层级以外的实用性和有用性的决策应该进行评估,并且最初应该仅捕获有关直接承包商的信息。 需要沿着供应链走多远?究竟分包了什么,其重要性如何(考虑到组织的风险标准)?这些问题需要预先考虑获取信息的需求与获取信息的成本。你应该:
供应商和分包商的合同条款与供应商和分包商签订的合同应考虑以下条款:
入门方法取决于组织的采购和风险管理流程,以及可以使用的工具。以下是首次采用 SCM 的组织的一组顶级优先事项。
来源:英国NCSC |
|