组织如何映射其供应链依赖关系以更好地理解和管理供应链中的风险。简介本指南适用于需要获得信心或保证与供应商合作相关漏洞的缓解措施已到位的大中型组织。什么是供应链映射?供应链映射(SCM)是记录、存储和使用从公司供应链中涉及的供应商收集的信息的过程。目标是对您的供应商网络有最新的了解,以更有效地管理网络风险并进行尽职调查。许多组织依靠供应商来交付产品、系统和服务。供应链通常庞大而复杂,有效地保护供应链可能很困难,因为漏洞可能是固有的、引入的或在整个过程中的任何时候被利用的。这使得很难知道您是否在整个供应链中提供了足够的保护。注:SCM遵循一切良好风险管理的原则;组织需要了解其供应链中固有的风险,然后引入与这些风险具体化的可能性(和影响)成比例的安全措施。供应链管理的好处了解供应商是谁、他们提供什么以及他们如何交付将有助于管理可能出现的网络安全风险。映射供应链允许基于风险做出更明智的业务决策,具体而言:更好地洞察网络安全考虑因素,可以通过合同更容易地执行更好地准备响应与供应链相关的网络事件建立可重复的方法让您有信心的能力您供应商的安全实践并允许您建立长期合作伙伴关系更容易遵守法律、法规和/或合同责任攻击。如果出现风险,能够快速响应将限制对组织的损害程度。SCM应包含哪些信息?以一致的方式收集有关供应商的信息并将其存储在访问受控的集中存储库中,将确保更轻松的分析和维护。这最终将实现更好的风险管理,因为将全面了解始终保持最新的供应链。可能有用的典型信息包括:供应商及其分包商的完整列表,显示他们之间的关系提供什么产品或服务,由谁提供,以及资产对贵组织的重要性在组织和供应商之间信息流(包括对该信息的价值的理解)供应组织内的保证联系人有关上次评估完整性的信息,下一次保证评估到期时间的详细信息以及任何未完成的活动任何所需的认证认证,例如网络基本要素,ISO认证,产品认证获取这些信息可能是一项艰巨的任务,特别是对于拥有复杂供应链的大型组织。注意:此信息对攻击者来说是一个有吸引力的目标,因此所有SCM资产都应保存在一个安全的存储库中,该存储库具有支持其设计的强大安全架构。映射供应商的工具有关现有供应商的信息可能已经存在于采购系统中。如果供应商有多个入口点,则需要汇总相关信息。根据组织的规模,考虑商业工具可能会有所帮助,这些工具可以:协调现有的供应链信息帮助使供应商保证信息保持最新监控初始层级以外的供应链并识别承包商和分包商集中的风险供应商更容易与供应链中的分包商连接、交互和可视化供应链供应链中任何地方都存在漏洞,无论是在您的直接供应商中还是在他们分包给的供应商中,都可能影响组织。对于大型组织,应评估了解主要层次之外的实用性和有用性的决策,并且最初应仅捕获有关直接承包商的信息。它需要沿着供应链走多远?分包的具体内容是什么,它有多重要(给定组织的风险标准)?这些问题需要事先考虑获取信息的必要性和成本。您应该:确定所使用的技术、系统和服务的重要性考虑您准备投入多少精力来建立整个供应链与主要供应商签订合同条款,以提供整个供应链的可见性向供应商保证这些信息是如何得到的使用和由谁访问此信息是可能的,因为供应商可能对共享商业敏感信息持谨慎态度使用此共享信息来了解直接一级供应商使用的主要共享供应商,突出集中风险确保数据供应链(即产品可能使用来自第三方的数据,甚至依赖其他人的数据)供应商和分包商的合同条款与供应商和分包商签订的合同应考虑以下条款:事件管理响应和通知响应时间框架找到根本原因)能力to审计供应商/分包商(以及预期的审计频率)数据管理(只有必要的数据可以从组织的网络传输)数据完整性(数据是否通过身份验证和加密保护,如果数据保存在供应商平台上,数据是否隔离?)供应商访问物理站点、信息系统和知识产权的管理控制(包括确保其保持最新的流程)您的直接供应供应商应从他们的供应链中获取任何要求(如上所述)如何开始取决于组织的采购和风险管理流程,以及他们可以使用的工具。以下是首次采用SCM的组织的一组首要任务。使用现有商店(例如采购系统)来构建已知供应商列表。优先考虑对组织至关重要的供应商、系统、产品和服务。确定哪些信息将有助于捕获有关您的供应链的信息。了解如何安全地存储信息和管理对信息的访问。确定是否收集有关您的供应商分包商的信息,以及在链条中有多远是有用的。考虑使用额外的服务来评估供应商并提供有关其网络风险状况的补充信息。对于新供应商,请在采购过程中预先说明您对供应商的期望。对于现有供应商,告诉他们您想要关于他们的哪些信息以及原因,并将从现有供应商处收集的信息改进到集中存储库中。更新标准合同条款,以确保在开始与供应商合作时提供所需信息作为标准。定义您组织中最适合使用此信息的人员;这可能包括采购、企业主、网络安全和运营安全团队。让他们了解信息存储并提供访问权限。考虑创建一个剧本来处理您可能需要协调整个扩展供应链和第三方(例如执法部门、监管机构甚至客户)的工作的事件。最后,记录由于供应链映射而需要在采购过程中更改的步骤。例如,可能需要考虑将无法令人满意地证明满足最低网络安全要求的供应商排除在外。
