全球互聯(lián)給供應鏈企業(yè)帶來了巨大的機遇。但同時，這也導致了更大的網絡威脅。只要一個供應商容易受到網絡威脅，整個供應鏈網絡就會暴露，企業(yè)就可能遭受供應中斷、恢復成本和可能的贖金要求，以及潛在的訴訟。

為了幫助全球商業(yè)領袖更好地控制他們的供應鏈，英國國家網絡安全中心(NCSC)提出供應鏈安全的12項原則。

這些原則被分為四個階段。以下是這些階段和關鍵原則的概述，以及CyberVadis如何幫助確保您的企業(yè)遵守這些原則。

一、了解風險

英國國家網絡安全中心（NCSC）提出的第一個階段是了解和收集關于供應商的必要信息，以了解他們給你的組織帶來的風險。這個階段包括三個首要原則:

1.了解需要保護的內容及其原因

與供應商和經銷商接觸不僅僅需要提供商品和服務，還需要交流信息。這就是為什么認識到你所簽合同的敏感性以及你的合作伙伴所掌握的信息的價值是非常重要的。

2.了解你的供應商是誰，并對他們的安全性有所了解

您的企業(yè)可能會盡職保護其數據，但您不能總是依賴他人來做同樣的事情。因此，了解您的供應商是誰，他們當前的安全安排有多成熟和有效，以及您應該要求他們提供什么樣的安全保護非常重要。然而，由于范圍內的供應商數量龐大，了解供應商的安全性極具挑戰(zhàn)性。

3.了解供應鏈帶來的安全風險

僅僅了解供應商制定的保護數據的政策是不夠的:為了保護您的供應鏈，您必須評估這些安排對您的業(yè)務帶來的風險。

公司應該知道他們的供應商是誰，按照重要程度對他們進行分類，并評估他們的網絡安全狀況，以便了解他們給組織帶來的風險。

CyberVadis提供了一個集成的解決方案，企業(yè)可以通過一個協(xié)作平臺輕松創(chuàng)建和管理他們的供應商組合。還就如何根據供應商的風險狀況對其進行分類提供指導。

CyberVadis的信息安全分析師通過基于證據的評估來評估所有被請求公司的網絡安全狀況，并為每個公司提供詳細的記分卡和改進計劃，以促進最佳實踐的采用并幫助他們發(fā)展其安全狀況。更重要的是，您可以與您的供應商就他們的改進行動進行協(xié)作，以確保他們滿足您的客戶需求。

二、建立控制

第二階段旨在幫助您提高和維護供應鏈的安全性。它由以下六項原則組成:

4.向供應商傳達您對安全需求的看法

網絡安全應該是每個企業(yè)關注的首要問題，但可悲的是，一些企業(yè)在實施安全措施方面仍然松懈。采購、安全和第三方風險管理團隊必須確保他們的供應商不僅了解他們?yōu)槟臄祿峁┏浞直Ｗo的責任，而且還遵守他們的安全責任和相關的安全要求。

5.為您的供應商設定并傳達最低安全要求

設定網絡安全的最低標準、保護您提供給供應商的信息以及明確您的安全要求非常重要。

6.將安全考慮納入您的合同流程，并要求您的供應商也這樣做

將您的安全考慮納入合同流程將允許您在整個合同過程中管理安全性。要求您的潛在供應商提供其安全方法的證據進一步幫助您覆蓋所有基礎。

7.履行作為供應商和消費者的安全責任

由于您需要強制執(zhí)行某些措施，因此您需要確保滿足所有網絡安全要求。您必須在自己的組織中展示對網絡安全原則的理解，并確保所有員工都遵守您的準則。此外，您的企業(yè)應該歡迎客戶可能要求的任何審計面談。

8.提高供應鏈中的安全意識

為了使您的安全工作取得成功，所有各方必須保持一致，這就是為什么您必須使用易于理解的語言向您的供應商解釋您的安全風險。鼓勵他們確保關鍵員工訓練有素。運營經理，是關鍵的工商管理職業(yè)并在很大程度上被視為任何公司活動的骨干，必須訓練有素，能夠密切關注公司的網絡安全表現(xiàn)。采購專業(yè)人員必須了解在供應商選擇過程中需要注意哪些方面。同時，營銷專業(yè)人士必須警惕他們發(fā)布的信息，并適當保護所有客戶數據。

9.為安全事件提供支持

盡管您的供應商應該準備好管理安全事件的流程，但您的企業(yè)應該準備好在必要時提供支持。

CyberVadis提供透明的解決方案來管理您的供應鏈安全：

首先，CyberVadis根據行業(yè)標準和法規(guī)(如ISO 27001 NIST CSF)進行網絡安全評估還有GDPR。所有供應商一旦被評估，不僅可以與請求評估的企業(yè)公司共享其記分卡，還可以與所有現(xiàn)有和潛在的客戶共享。
被評估公司收到的改進計劃有助于您監(jiān)控進度，并詢問具體改進措施的優(yōu)先順序。這種透明的方法使被評估供應商的進度一目了然，從而提高他們的網絡安全成熟度(供應商可以輕松地將其改進卡從待辦事項、進行中狀態(tài)更新為完成狀態(tài))。

其次，CyberVadis為所有提出請求的公司提供了根據與供應商的關系為其供應商定義特定風險閾值的能力(即，您與他們共享個人數據、商業(yè)敏感數據、網絡連接或基于他們的知識或任何信息他們是關鍵的其他的標準)。根據這些閾值，被請求的公司可以被標記為“有風險”或“通過”，然后您可以采取必要的措施來確保它們符合您的安全要求。

最后，借助CyberVadis，提出申請的公司能夠在采購流程的每個階段評估其供應商的網絡安全流程，確保不會出現(xiàn)意外。例如，CyberVadis可以在招標書階段對潛在供應商進行評估，使提出要求的公司在任何協(xié)議或合同敲定之前就能了解其潛在供應商的表現(xiàn)。

三、檢查你的安排

第三階段的目的是幫助你對建立供應鏈控制的方法有信心。它由一個原理組成，描述如下:

10.將保證活動融入供應鏈管理

正如您必須讓自己的組織接受安全性能和消費者審計的向上報告一樣，您的供應商也應該這樣做。在你的合同中加入“審計權”條款，并在合理的情況下提出保證要求。

CyberVadis在所有這些領域協(xié)助提出要求的公司，使它們能夠更好地控制它們選擇與之合作的供應商類型。

四、持續(xù)改進

隨著供應鏈的發(fā)展和網絡安全原則的不斷完善，這最后一個階段旨在幫助組織繼續(xù)改進和維護其協(xié)議，以確保長期保護。這是這個階段的兩個原則:

11.鼓勵供應鏈內安全性的持續(xù)改進

用你自己的標準來要求你的供應商，并鼓勵他們繼續(xù)改進他們的安全措施。

12.與供應商建立信任

組織必須努力建立戰(zhàn)略合作伙伴關系，并與其行業(yè)中的關鍵參與者建立信任。鼓勵并重視供應商的投入，允許他們管理分包商，并保持持續(xù)有效的溝通。

CyberVadis將對您的供應商組合進行年度(或按需)重新評估，同時為企業(yè)提供所有必要的信息，以與其供應商建立良好的關系。

你的供應鏈的安全是不應該被忽視的。通過CyberVadis確保您的組織遵守所有標準行業(yè)標準評估今天。

如何開展實施CyberVadis評估

我司提供專業(yè)的CyberVadis培訓輔導服務，協(xié)助企業(yè)完善并建立CyberVadis安全體系，并幫助企業(yè)順利通過CyberVadis官方評估，歡迎來電咨詢（4008897855 / 021-36529816）或咨詢在線客服！