本文是网络安全供应链风险管理(C-SCRM)系列文章的第二部分。.
When buying products or services, 或者在与其他组织合作时, 你可以接触到你的业务需要的东西.
这可能是制造产品所需的材料或现成部件. 它可能是你的组织所缺乏的专业技能和专业知识. 它可以是支持工具,使您能够工作(例如It)。, 或者是你不愿意自己做的支持性服务, 因为把精力集中在你擅长的事情上更划算.
Whatever it is you are acquiring, 了解安全风险是什么非常重要, 以及对各方的安全要求. 沟通不清楚可能会导致问题的进一步发展.
您可能对该产品或服务有特定的安全需求, either for your own purposes, 或者因为你的客户要求你提供. 如果你不事先解释这些产品或服务的网络安全要求, 你的供应商不知道你需要什么. 这会让他们很难达到你的(未说出口的)期望, 这段关系可能不会像你希望的那样顺利.
您的法律团队将能够详细说明不同情况下的法律措辞, 但是,您必须考虑每种情况下的安全需求并提前讨论它们. 提前起草可用于不同情况的安全要求将是有用的.
以及旨在保护公司机密信息的条款, 很可能对敏感的保护有具体的要求, 知识产权或财务信息或个人身份信息, 符合数据保护法的责任. 而且很可能会有额外的安全相关需求, 视所提供产品或服务的性质而定.
Security requirements and contracts
有几个与安全相关的要求需要考虑包括在与供应商的合同安排中, such as:
- 与所提供的特定产品或服务相关的任何安全要求. 这将因供应商的不同而有很大差异——在场外托管的培训日的供应将不具有与提供IT基础设施相同的安全需求. 在投放市场之前,必须(尽可能地)确定这些要求.
- 定义安全责任——解释所有需要清楚理解和实现的内容.
- 他们有适当的计划和程序,使他们能够快速有效地应对网络安全事件.
- 他们通知你任何可能影响任何一方网络安全的安全问题或事件.
- 他们与您分享他们所掌握或了解的任何可能有助于您减轻此类网络安全事件的信息.
- 他们有适当的业务连续性计划,使他们能够继续为您提供服务.
- 作为采购过程的一部分(例如在供应商问卷中)提供的所有与安全相关的信息构成合同的一部分. 这是因为合同的授予可能取决于风险分析和供应商评估期间提供的信息是否准确.
- 您的供应商管理自己的供应链风险相同(或其他), 同意)的安全级别,因为你正在管理你的.
- 信息分类——您所看到的“机密”可能意味着完全不同的东西,并且在您的供应商环境中被非常不同地对待.
- 有权审核/定期评估其保安措施, 并监控和衡量绩效. 你需要能够检查一切是否按计划进行, 包括任何安全漏洞的管理.
- 沟通不可能遵守安全需求的任何情况的细节, 这样就可以管理由此产生的安全缺口. Understanding these gaps, and working to manage them, 一旦供应商十大正规博彩网站评级,将成为管理供应链安全的重要组成部分吗.
- 为可能影响您的已知漏洞提供适当的处理.
- 提供独立的证据(例如), 通过第三方审核)确认他们符合合同要求. 这并不适用于每个供应商,而是取决于合同所带来的风险.
- 及时沟通组织中可能影响您业务的任何其他变化. 没人愿意在不知情的情况下发现, for example, 一个重要的知识资源正在被重新分配,无法为您提供支持.
It is, of course, 重要的是要认识到你是一个持续的供应链的一部分,应该准备好以同样的方式支持你的客户. Your customers will, if not already, be asking these questions of you, 因此,准备好答案是值得的.
Categorising your suppliers
并非上述所有条款都适用于所有供应商. 合同协议应与所提供的产品或服务相关,并与每个供应商所带来的风险成比例. For example, 要求低风险供应商通过第三方审核提供独立的证据,证明他们遵守了你的要求,这将过于严格,并对关系产生负面影响.
例子:根据你的评估使用不同级别的尽职调查
不要忘记考虑您的云或SaaS服务. 这些和内部部署一样重要,甚至更重要.
考虑为每个供应商制定风险概况,作为供应商评估过程的一部分, 基于一系列的事情,包括:
- 他们供应什么,对你的业务有多重要.
- 数据是否以电子方式共享和处理.
- 供应商是否有权访问您的系统.
- 他们是否提供产品或服务来支持信息处理和/或通过互联网提供您的数据.
- And where the supplier is based.
一旦你有了供应商的风险概况, 您可以根据此配置文件在采购的每个阶段管理它们. 低风险供应商应该有不同的问卷来完成, 合同后较少繁重的评估, 对高风险的供应商也有不同的合同条款.
Do tell your suppliers you are developing your C-SCRM programme; be transparent and reassure them that you are not interested in their sensitive data but are working for the benefit of both.
Conclusion
In general, though, by summarising these clauses, 我们可以看到,在某种程度上,它们适用于所有人, requiring:
- 明确和定期沟通任何安全漏洞或事故, 重大变化和收集任何有用的信息以减少任何一方的风险.
- 识别和包含安全需求, 对于所提供的产品或服务,无论是一般的还是特别的.
- 您的供应商及其供应商的良好安全实践、治理和管理.
- 审核、监视和测量权.
Of course, 如果你必须依靠你的合同条款来确保你期望收到的东西被交付, the relationship is already broken. 但至少要在合同中清楚地表达你的期望, 你的供应商从一开始就知道你想要什么,你也一样.
在以后的文章中,我们将讨论:
- 外包C-SCRM时的成功计划
- 制定C-SCRM政策和计划
- 评估现有供应商:安全漏洞在哪里?
- 回顾当前流程:我们可以做得更好的地方?
- 实施和嵌入C-SCRM计划
About CSP
CSP是一家专业的安全咨询公司,帮助我们的客户驾驭这个日益互联的世界. Our team can:
- 根据您的情况,对安全要求提出建议
- 在每个阶段根据您的安全要求评估您的供应商:
- 检查他们对安全问题的回答
- 审查合同中的担保条款
- 审核选定的供应商是否符合你们的安全要求.
- 与您合作,加强您的政策和流程,以提高整个采购过程的安全性.
Please contact us here or call us on 0113 5323763 to talk about how we can help.
