今天，我們就供應(yīng)鏈安全，繼續(xù)探討。如果已經(jīng)遵循良好的采購和合同實(shí)踐，以下提供可以考慮的其他因素，以便我們更好的評估供應(yīng)鏈管理實(shí)踐的優(yōu)劣好壞。

　　與供應(yīng)商建立伙伴關(guān)系。如果組織供應(yīng)商采用組織供應(yīng)鏈安全方法作為他們自己的方法，那么與組織僅僅強(qiáng)制要求合規(guī)相比，成功的可能性要大得多。

　　不經(jīng)協(xié)商就規(guī)定要求。

　　通過比傳統(tǒng)產(chǎn)品保證活動(dòng)更早地開始討論安全性，讓供應(yīng)商從一開始就考慮安全性。

　　只需將安全視為產(chǎn)品保證問題即可。

　　向供應(yīng)商解釋實(shí)現(xiàn)所需安全改進(jìn)的好處：即這些將滿足合規(guī)要求，或?yàn)楣?yīng)商提供贏得其他合同的潛力。

　　只需告訴供應(yīng)商該做什么，但不提供任何好處的解釋：因此，一些供應(yīng)商可能不愿意競標(biāo)合同。

　　考慮如何讓可能需要合法但臨時(shí)/偶爾和/或有限訪問業(yè)務(wù)的供應(yīng)商這樣做，而不必遵守對供應(yīng)商的最低安全要求。記錄這些約定的程序并就其使用對所有各方進(jìn)行培訓(xùn)。

　　不對這種情況做任何規(guī)定，要么要求他們滿足組織安全要求（即使他們對此沒有什么理由），要么忽略它并讓人們自己安排（希望一切順利）。

　　如有需要，制定通用合同工件（即風(fēng)險(xiǎn)評估和自我評估安全問卷）以支持合同流程并使組織的供應(yīng)商能夠?qū)⑦@些信息傳遞給分包商。與供應(yīng)商分享這些信息，并對所有員工進(jìn)行使用培訓(xùn)。

　　在簽約過程中提供很少/不提供建議，允許供應(yīng)商做自己的事情-并且無法理解這在保證整體供應(yīng)鏈安全方面的影響。

　　要求在適當(dāng)?shù)臅r(shí)間間隔對這些人工制品進(jìn)行審查，例如在合同續(xù)簽時(shí)、發(fā)生重大變化時(shí)或在應(yīng)對重大事件時(shí)。

　　擔(dān)心最初的合同，但對后續(xù)的合同續(xù)約興趣不大/沒有興趣：未能發(fā)現(xiàn)可能出現(xiàn)的變化/問題。

　　確保安全考慮是合同競爭過程的一個(gè)組成部分，并影響供應(yīng)商的選擇。

　　要求供應(yīng)商在合同競爭的各個(gè)階段提供其安全狀態(tài)和滿足最低安全要求的能力的適當(dāng)證據(jù)：也許尋求基本保證供應(yīng)商有能力滿足法律和監(jiān)管要求，作為第一道門，在初始合同廣告，但隨著競爭范圍縮小到幾個(gè)首選投標(biāo)人的選擇，需要更多的細(xì)節(jié)。

　　確保這些不會給潛在供應(yīng)商帶來不必要的工作量——尤其是在合同的早期階段，因?yàn)橛泻芏嗪贤暾埲恕?/p>

　　只在簽約過程結(jié)束時(shí)擔(dān)心安全性-這些考慮因素對選擇供應(yīng)商幾乎沒有影響。

　　要求提供超出需要、可以處理或?qū)⑹褂玫母嘈畔ⅲ寒?dāng)潛在供應(yīng)商贏得合同的機(jī)會很小時(shí)，可能會給他們帶來不必要的工作量。當(dāng)供應(yīng)商不以這些理由競爭合同時(shí)，會感到驚訝。

　　當(dāng)使用自我評估安全問卷來幫助簽訂合同時(shí)，確保這符合設(shè)置的最低安全要求-并將供應(yīng)商的工作量減少到必要的最低限度。僅當(dāng)供應(yīng)商進(jìn)入合同后期階段并且是考慮簽訂合同的極少數(shù)供應(yīng)商之一時(shí)才需要更詳細(xì)的信息。

　　只需清除一份現(xiàn)有的基于ISO27001的問卷，認(rèn)為可能會這樣做，并讓供應(yīng)商完成該問卷：即使這與使用的最低安全控制措施（即網(wǎng)絡(luò)基本要素或網(wǎng)絡(luò)安全10步）沒有相似之處。

　　沒有考慮這將為供應(yīng)商帶來的工作量，也沒有尋求將要求與合同競爭階段相匹配。

　　允許供應(yīng)商有時(shí)間實(shí)現(xiàn)所需的安全改進(jìn)：制定風(fēng)險(xiǎn)標(biāo)準(zhǔn)來管理此過渡（即要求供應(yīng)商提供安全改進(jìn)計(jì)劃，說明將如何取得進(jìn)展）并規(guī)定何時(shí)對進(jìn)展進(jìn)行檢查并應(yīng)進(jìn)行檢查。

　　設(shè)定不切實(shí)際的截止日期，或者沒有明確或一致的風(fēng)險(xiǎn)標(biāo)準(zhǔn)來告知無法在商定的時(shí)間范圍內(nèi)進(jìn)行這些改進(jìn)的供應(yīng)商的決策。這可能意味著無法與此類供應(yīng)商合作-可能導(dǎo)致能力下降和供應(yīng)商選擇減少。

　　確認(rèn)供應(yīng)商可能擁有的任何現(xiàn)有安全認(rèn)證或先前/現(xiàn)有合同批準(zhǔn)，并允許他們重復(fù)使用此類證據(jù)來證明這如何滿足某些最低安全要求。但是要適當(dāng)?shù)剡M(jìn)行調(diào)查以確認(rèn)情況確實(shí)如此。

　　忽略任何現(xiàn)有的安全認(rèn)證或合同批準(zhǔn)，這些要求供應(yīng)商無論如何都要遵守最低安全要求。這可能會給供應(yīng)商帶來不必要的工作和成本，從而損害這些關(guān)系。

　　期望所有供應(yīng)商都實(shí)現(xiàn)CyberEssentials。

　　但請理解，一些供應(yīng)商——即使是那些擁有ISO27001等現(xiàn)有安全認(rèn)證的供應(yīng)商，可能會發(fā)現(xiàn)難以滿足計(jì)劃的要求。但是，如果出于任何原因無法滿足計(jì)劃的要求，應(yīng)該設(shè)法了解供應(yīng)商正在采取哪些步驟來管理這些風(fēng)險(xiǎn)，例如通過替代業(yè)務(wù)流程或補(bǔ)償安全控制。應(yīng)該檢查以確認(rèn)這些是合適的。

　　期望所有供應(yīng)商都實(shí)現(xiàn)CyberEssentials，但不考慮特殊情況，采取非黑即白的方法。不要承認(rèn)任何困難并拒絕向發(fā)現(xiàn)CyberEssentials認(rèn)證難以獲得的供應(yīng)商授予合同，從而進(jìn)一步損害自己的能力和供應(yīng)商選擇。

　　提供選擇的最低安全要求與常見商業(yè)安全方案的映射，以幫助供應(yīng)商重復(fù)使用證據(jù)，并幫助其他客戶評估等效性。這也將有助于供應(yīng)商展示他們?nèi)绾闻c國際計(jì)劃保持一致。

　　不提供支持，期望供應(yīng)商自己進(jìn)行映射：可能會增加工作量并導(dǎo)致不一致——可能會破壞客戶對他們提供的證據(jù)的信任。

　　監(jiān)控并持續(xù)改進(jìn)流程，停止或改進(jìn)不成比例、無效或不合理的流程。

　　允許不成比例、無效或不合理的流程保持不變。未能聽取一致的、合理的改進(jìn)要求。