组织如何映射其供应链依赖关系,射供以便更好地理解和管理供应链中的应链风险。
本指南面向大中型组织,链安他们需要获得信心或保证缓解与供应商合作相关的全映漏洞已到位。
供应链映射 (SCM) 是记录、存储和使用从公司供应链中涉及的应链供应商收集的信息的过程。目标是链安对您的供应商网络有最新的了解,以便更有效地管理网络风险,全映并进行尽职调查。射供
许多组织依靠供应商来交付产品、应链系统和服务。链安供应链通常庞大而复杂,全映有效地保护供应链可能很困难,射供因为脆弱性可能在其中的任何一点是固有的、引入的或被利用的。这使得很难知道您是否在整个供应链中拥有足够的保护。
注:SCM遵循一切良好风险管理的原则;组织需要了解其供应链中固有的风险,然后引入与这些风险具体化的可能性(和影响)成比例的安全措施。
了解供应商是谁、提供什么以及如何提供将帮助管理可能出现的网络安全风险。映射供应链可以根据风险做出更明智的业务决策,具体而言:
不可能完全根除供应链攻击。如果出现风险,能够快速响应将限制对组织造成损害的范围。
以一致的方式收集有关供应商的信息并将其存储在访问受控的集中存储库中,将确保更易于分析和维护。这最终将能够更好地管理风险,因为将全面了解始终保持最新状态的供应链。
可能有用的典型信息包括:
获取这些信息可能是一项艰巨的任务,尤其是对于拥有复杂供应链的大型组织而言。
注意:此信息对攻击者来说是一个很有吸引力的目标,因此所有 SCM 资产都应保存在一个安全的存储库中,该存储库具有支持其设计的强大安全架构。
有关现有供应商的信息可能已经存在于采购系统中。如果供应商有多个入口点,则需要汇总相关信息。根据组织的规模,考虑商业工具可能会有所帮助,这些工具可以:
供应链中任何地方存在的漏洞,无论是在您的直接供应商中,还是在他们分包给的供应商中,都可能影响组织。对于大型组织而言,围绕了解主要层级以外的实用性和有用性的决策应该进行评估,并且最初应该仅捕获有关直接承包商的信息。
需要沿着供应链走多远?究竟分包了什么,其重要性如何(考虑到组织的风险标准)?这些问题需要预先考虑获取信息的需求与获取信息的成本。你应该:
与供应商和分包商签订的合同应考虑以下条款:
方法取决于组织的采购和风险管理流程,以及可以使用的工具。以下是首次采用 SCM 的组织的一组顶级优先事项。
(责任编辑:知识)
爱司凯(300521.SZ)2020年度净亏损1214.64万元 不以公积金转增股本
2月2日,酒店及旅游板块持续回暖,ST凯撒、西安旅游涨幅超4%
安徽蚌埠市合力推进国有林场改革 积极构建现代国有林场发展机制
嘉里物流(00636.HK)因购股权获行使发行8万股 每股发行价10.2港元
1492家公司持续三年加大研发力度 TOP50去年研发投入同比增超过100%
2月10日,A股酒店及旅游板块持续回暖,金陵饭店、*ST雪发涨幅超5%
贝达药业(300558.SZ)公布消息:凯铭投资解押239万股及质押的511万股延期购回
创业板高管年薪“首尾”相差800余倍 科创板公司人均达到919万元