组织如何映射其供应链依赖性,以便更好地理解和管理供应链中的风险。 介绍本指南针对的是需要获得信心或确保已针对与供应商合作相关漏洞采取缓解措施的大中型组织。 请结合 NCSC 关于如何评估供应链网络安全并获得信心的指南一起阅读。 什么是供应链映射?供应链绘图 (SCM) 是记录、存储和使用从参与公司供应链的供应商处收集的信息的过程。目标是对您的供应商网络有最新的了解,以便更有效地管理网络风险并进行尽职调查。 许多组织依赖供应商来提供产品、系统和服务。供应链通常庞大且复杂,有效地保护供应链可能很困难,因为漏洞可能是固有的、在其中的任何一点引入或利用的。这使得您很难知道您是否在整个供应链中拥有足够的保护。 注:SCM遵循一切良好风险管理的原则;组织需要了解其供应链中固有的风险,然后引入与这些风险发生的可能性(和影响)成比例的安全措施。 供应链管理的好处了解您的供应商是谁、他们提供什么以及如何提供将帮助您管理可能出现的网络安全风险。绘制供应链图可以让您根据风险做出更明智的业务决策,特别是:
完全消除供应链攻击是不可能的 。如果出现风险,能够快速响应将限制对组织造成的损害范围。 SCM应包含哪些信息?以一致的方式收集有关供应商的信息并将其存储在访问控制的集中存储库中,将确保更容易分析和维护。这最终将使您能够更好地管理风险,因为您将获得始终最新的供应链的全面视图。 可能有用的典型信息包括:
获取这些信息可能是一项艰巨的任务,特别是对于具有复杂供应链的大型组织而言。NCSC 关于如何评估供应链网络安全的指南将有助于完成此任务,并且还可以确保捕获来自新供应商的供应链依赖性。 注意:此信息对于攻击者来说是一个有吸引力的目标,因此所有 SCM 资产都应保存在一个安全的存储库中,并具有强大的安全架构来支持其设计。 绘制供应商地图的工具有关现有供应商的信息可能已存在于您的采购系统中。如果供应商有多个入口点,则需要汇总相关信息。根据您组织的规模,考虑商业工具可能会有所帮助,这些工具可以:
供应链中的分包商供应链中任何地方存在的漏洞,无论是您的直接供应商还是他们分包给的供应商,都可能会影响您的组织。对于大型组织,应评估主要层之外的理解的实用性和有用性,并且最初只应捕获有关直接承包商的信息。 您需要在供应链中走多远?到底什么是分包的,其重要性是什么(考虑到组织的风险标准)?这些问题需要预先考虑获取信息的需求与获取信息的成本。你应该:
供应商和分包商的合同条款与供应商和分包商签订的合同应考虑以下条款:
入门您的方法将取决于组织的采购和风险管理流程以及可以使用的工具。以下是首次接触SCM 的组织的首要优先事项。
|
|