全球互聯(lián)給供應(yīng)鏈企業(yè)帶來了巨大的機(jī)遇。但同時(shí)，這也導(dǎo)致了更大的網(wǎng)絡(luò)威脅。只要一個(gè)供應(yīng)商容易受到網(wǎng)絡(luò)威脅，整個(gè)供應(yīng)鏈網(wǎng)絡(luò)就會(huì)暴露，企業(yè)就可能遭受供應(yīng)中斷、恢復(fù)成本和可能的贖金要求，以及潛在的訴訟。

為了幫助全球商業(yè)領(lǐng)袖更好地控制他們的供應(yīng)鏈，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)提出供應(yīng)鏈安全的12項(xiàng)原則。

這些原則被分為四個(gè)階段。以下是這些階段和關(guān)鍵原則的概述，以及CyberVadis如何幫助確保您的企業(yè)遵守這些原則。

一、了解風(fēng)險(xiǎn)

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）提出的第一個(gè)階段是了解和收集關(guān)于供應(yīng)商的必要信息，以了解他們給你的組織帶來的風(fēng)險(xiǎn)。這個(gè)階段包括三個(gè)首要原則:

1.了解需要保護(hù)的內(nèi)容及其原因

與供應(yīng)商和經(jīng)銷商接觸不僅僅需要提供商品和服務(wù)，還需要交流信息。這就是為什么認(rèn)識(shí)到你所簽合同的敏感性以及你的合作伙伴所掌握的信息的價(jià)值是非常重要的。

2.了解你的供應(yīng)商是誰，并對(duì)他們的安全性有所了解

您的企業(yè)可能會(huì)盡職保護(hù)其數(shù)據(jù)，但您不能總是依賴他人來做同樣的事情。因此，了解您的供應(yīng)商是誰，他們當(dāng)前的安全安排有多成熟和有效，以及您應(yīng)該要求他們提供什么樣的安全保護(hù)非常重要。然而，由于范圍內(nèi)的供應(yīng)商數(shù)量龐大，了解供應(yīng)商的安全性極具挑戰(zhàn)性。

3.了解供應(yīng)鏈帶來的安全風(fēng)險(xiǎn)

僅僅了解供應(yīng)商制定的保護(hù)數(shù)據(jù)的政策是不夠的:為了保護(hù)您的供應(yīng)鏈，您必須評(píng)估這些安排對(duì)您的業(yè)務(wù)帶來的風(fēng)險(xiǎn)。

公司應(yīng)該知道他們的供應(yīng)商是誰，按照重要程度對(duì)他們進(jìn)行分類，并評(píng)估他們的網(wǎng)絡(luò)安全狀況，以便了解他們給組織帶來的風(fēng)險(xiǎn)。

CyberVadis提供了一個(gè)集成的解決方案，企業(yè)可以通過一個(gè)協(xié)作平臺(tái)輕松創(chuàng)建和管理他們的供應(yīng)商組合。還就如何根據(jù)供應(yīng)商的風(fēng)險(xiǎn)狀況對(duì)其進(jìn)行分類提供指導(dǎo)。

CyberVadis的信息安全分析師通過基于證據(jù)的評(píng)估來評(píng)估所有被請(qǐng)求公司的網(wǎng)絡(luò)安全狀況，并為每個(gè)公司提供詳細(xì)的記分卡和改進(jìn)計(jì)劃，以促進(jìn)最佳實(shí)踐的采用并幫助他們發(fā)展其安全狀況。更重要的是，您可以與您的供應(yīng)商就他們的改進(jìn)行動(dòng)進(jìn)行協(xié)作，以確保他們滿足您的客戶需求。

二、建立控制

第二階段旨在幫助您提高和維護(hù)供應(yīng)鏈的安全性。它由以下六項(xiàng)原則組成:

4.向供應(yīng)商傳達(dá)您對(duì)安全需求的看法

網(wǎng)絡(luò)安全應(yīng)該是每個(gè)企業(yè)關(guān)注的首要問題，但可悲的是，一些企業(yè)在實(shí)施安全措施方面仍然松懈。采購(gòu)、安全和第三方風(fēng)險(xiǎn)管理團(tuán)隊(duì)必須確保他們的供應(yīng)商不僅了解他們?yōu)槟臄?shù)據(jù)提供充分保護(hù)的責(zé)任，而且還遵守他們的安全責(zé)任和相關(guān)的安全要求。

5.為您的供應(yīng)商設(shè)定并傳達(dá)最低安全要求

設(shè)定網(wǎng)絡(luò)安全的最低標(biāo)準(zhǔn)、保護(hù)您提供給供應(yīng)商的信息以及明確您的安全要求非常重要。

6.將安全考慮納入您的合同流程，并要求您的供應(yīng)商也這樣做

將您的安全考慮納入合同流程將允許您在整個(gè)合同過程中管理安全性。要求您的潛在供應(yīng)商提供其安全方法的證據(jù)進(jìn)一步幫助您覆蓋所有基礎(chǔ)。

7.履行作為供應(yīng)商和消費(fèi)者的安全責(zé)任

由于您需要強(qiáng)制執(zhí)行某些措施，因此您需要確保滿足所有網(wǎng)絡(luò)安全要求。您必須在自己的組織中展示對(duì)網(wǎng)絡(luò)安全原則的理解，并確保所有員工都遵守您的準(zhǔn)則。此外，您的企業(yè)應(yīng)該歡迎客戶可能要求的任何審計(jì)面談。

8.提高供應(yīng)鏈中的安全意識(shí)

為了使您的安全工作取得成功，所有各方必須保持一致，這就是為什么您必須使用易于理解的語言向您的供應(yīng)商解釋您的安全風(fēng)險(xiǎn)。鼓勵(lì)他們確保關(guān)鍵員工訓(xùn)練有素。運(yùn)營(yíng)經(jīng)理，是關(guān)鍵的工商管理職業(yè)并在很大程度上被視為任何公司活動(dòng)的骨干，必須訓(xùn)練有素，能夠密切關(guān)注公司的網(wǎng)絡(luò)安全表現(xiàn)。采購(gòu)專業(yè)人員必須了解在供應(yīng)商選擇過程中需要注意哪些方面。同時(shí)，營(yíng)銷專業(yè)人士必須警惕他們發(fā)布的信息，并適當(dāng)保護(hù)所有客戶數(shù)據(jù)。

9.為安全事件提供支持

盡管您的供應(yīng)商應(yīng)該準(zhǔn)備好管理安全事件的流程，但您的企業(yè)應(yīng)該準(zhǔn)備好在必要時(shí)提供支持。

CyberVadis提供透明的解決方案來管理您的供應(yīng)鏈安全：

首先，CyberVadis根據(jù)行業(yè)標(biāo)準(zhǔn)和法規(guī)(如ISO 27001 NIST CSF)進(jìn)行網(wǎng)絡(luò)安全評(píng)估還有GDPR。所有供應(yīng)商一旦被評(píng)估，不僅可以與請(qǐng)求評(píng)估的企業(yè)公司共享其記分卡，還可以與所有現(xiàn)有和潛在的客戶共享。
被評(píng)估公司收到的改進(jìn)計(jì)劃有助于您監(jiān)控進(jìn)度，并詢問具體改進(jìn)措施的優(yōu)先順序。這種透明的方法使被評(píng)估供應(yīng)商的進(jìn)度一目了然，從而提高他們的網(wǎng)絡(luò)安全成熟度(供應(yīng)商可以輕松地將其改進(jìn)卡從待辦事項(xiàng)、進(jìn)行中狀態(tài)更新為完成狀態(tài))。

其次，CyberVadis為所有提出請(qǐng)求的公司提供了根據(jù)與供應(yīng)商的關(guān)系為其供應(yīng)商定義特定風(fēng)險(xiǎn)閾值的能力(即，您與他們共享個(gè)人數(shù)據(jù)、商業(yè)敏感數(shù)據(jù)、網(wǎng)絡(luò)連接或基于他們的知識(shí)或任何信息他們是關(guān)鍵的其他的標(biāo)準(zhǔn))。根據(jù)這些閾值，被請(qǐng)求的公司可以被標(biāo)記為“有風(fēng)險(xiǎn)”或“通過”，然后您可以采取必要的措施來確保它們符合您的安全要求。

最后，借助CyberVadis，提出申請(qǐng)的公司能夠在采購(gòu)流程的每個(gè)階段評(píng)估其供應(yīng)商的網(wǎng)絡(luò)安全流程，確保不會(huì)出現(xiàn)意外。例如，CyberVadis可以在招標(biāo)書階段對(duì)潛在供應(yīng)商進(jìn)行評(píng)估，使提出要求的公司在任何協(xié)議或合同敲定之前就能了解其潛在供應(yīng)商的表現(xiàn)。

三、檢查你的安排

第三階段的目的是幫助你對(duì)建立供應(yīng)鏈控制的方法有信心。它由一個(gè)原理組成，描述如下:

10.將保證活動(dòng)融入供應(yīng)鏈管理

正如您必須讓自己的組織接受安全性能和消費(fèi)者審計(jì)的向上報(bào)告一樣，您的供應(yīng)商也應(yīng)該這樣做。在你的合同中加入“審計(jì)權(quán)”條款，并在合理的情況下提出保證要求。

CyberVadis在所有這些領(lǐng)域協(xié)助提出要求的公司，使它們能夠更好地控制它們選擇與之合作的供應(yīng)商類型。

四、持續(xù)改進(jìn)

隨著供應(yīng)鏈的發(fā)展和網(wǎng)絡(luò)安全原則的不斷完善，這最后一個(gè)階段旨在幫助組織繼續(xù)改進(jìn)和維護(hù)其協(xié)議，以確保長(zhǎng)期保護(hù)。這是這個(gè)階段的兩個(gè)原則:

11.鼓勵(lì)供應(yīng)鏈內(nèi)安全性的持續(xù)改進(jìn)

用你自己的標(biāo)準(zhǔn)來要求你的供應(yīng)商，并鼓勵(lì)他們繼續(xù)改進(jìn)他們的安全措施。

12.與供應(yīng)商建立信任

組織必須努力建立戰(zhàn)略合作伙伴關(guān)系，并與其行業(yè)中的關(guān)鍵參與者建立信任。鼓勵(lì)并重視供應(yīng)商的投入，允許他們管理分包商，并保持持續(xù)有效的溝通。

CyberVadis將對(duì)您的供應(yīng)商組合進(jìn)行年度(或按需)重新評(píng)估，同時(shí)為企業(yè)提供所有必要的信息，以與其供應(yīng)商建立良好的關(guān)系。

你的供應(yīng)鏈的安全是不應(yīng)該被忽視的。通過CyberVadis確保您的組織遵守所有標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)評(píng)估今天。

如何開展實(shí)施CyberVadis評(píng)估

我司提供專業(yè)的CyberVadis培訓(xùn)輔導(dǎo)服務(wù)，協(xié)助企業(yè)完善并建立CyberVadis安全體系，并幫助企業(yè)順利通過CyberVadis官方評(píng)估，歡迎來電咨詢（4008897855 / 021-36529816）或咨詢?cè)诰€客服！