組織如何映射其供應(yīng)鏈依賴關(guān)系，以便更好地理解和管理供應(yīng)鏈中的風(fēng)險(xiǎn)。

介紹

本指南面向大中型組織，他們需要獲得信心或保證緩解與供應(yīng)商合作相關(guān)的漏洞已到位。

什么是供應(yīng)鏈映射？

供應(yīng)鏈映射 (SCM) 是記錄、存儲(chǔ)和使用從公司供應(yīng)鏈中涉及的供應(yīng)商收集的信息的過(guò)程。目標(biāo)是對(duì)您的供應(yīng)商網(wǎng)絡(luò)有最新的了解，以便更有效地管理網(wǎng)絡(luò)風(fēng)險(xiǎn)，并進(jìn)行盡職調(diào)查。

許多組織依靠供應(yīng)商來(lái)交付產(chǎn)品、系統(tǒng)和服務(wù)。供應(yīng)鏈通常龐大而復(fù)雜，有效地保護(hù)供應(yīng)鏈可能很困難，因?yàn)榇嗳跣钥赡茉谄渲械娜魏我稽c(diǎn)是固有的、引入的或被利用的。這使得很難知道您是否在整個(gè)供應(yīng)鏈中擁有足夠的保護(hù)。

注：SCM遵循一切良好風(fēng)險(xiǎn)管理的原則；組織需要了解其供應(yīng)鏈中固有的風(fēng)險(xiǎn)，然后引入與這些風(fēng)險(xiǎn)具體化的可能性（和影響）成比例的安全措施。

供應(yīng)鏈管理的好處

了解供應(yīng)商是誰(shuí)、提供什么以及如何提供將幫助管理可能出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。映射供應(yīng)鏈可以根據(jù)風(fēng)險(xiǎn)做出更明智的業(yè)務(wù)決策，具體而言：

• 更好地洞察可以通過(guò)合同更容易執(zhí)行的網(wǎng)絡(luò)安全考慮因素
• 更充分地準(zhǔn)備應(yīng)對(duì)與供應(yīng)鏈相關(guān)的網(wǎng)絡(luò)事件
• 建立可重復(fù)方法的能力，使您對(duì)供應(yīng)商的安全實(shí)踐充滿信心，并可以建立長(zhǎng)期合作伙伴關(guān)系
• 更容易遵守法律、法規(guī)和/或合同責(zé)任
• 定期評(píng)估供應(yīng)鏈將降低網(wǎng)絡(luò)攻擊或破壞的可能性

不可能完全根除供應(yīng)鏈攻擊。如果出現(xiàn)風(fēng)險(xiǎn)，能夠快速響應(yīng)將限制對(duì)組織造成損害的范圍。

SCM 應(yīng)包含哪些信息？

以一致的方式收集有關(guān)供應(yīng)商的信息并將其存儲(chǔ)在訪問(wèn)受控的集中存儲(chǔ)庫(kù)中，將確保更易于分析和維護(hù)。這最終將能夠更好地管理風(fēng)險(xiǎn)，因?yàn)閷⑷媪私馐冀K保持最新狀態(tài)的供應(yīng)鏈。

可能有用的典型信息包括：

• 供應(yīng)商及其分包商的完整清單，顯示他們?nèi)绾蜗嗷ヂ?lián)系
• 提供什么產(chǎn)品或服務(wù)，由誰(shuí)提供，以及該資產(chǎn)對(duì)您的組織的重要性
• 組織和供應(yīng)商之間的信息流動(dòng)（包括對(duì)該信息價(jià)值的理解）
• 供應(yīng)組織內(nèi)的保證聯(lián)系人
• 與上次評(píng)估的完整性有關(guān)的信息、下一次保證評(píng)估到期時(shí)間的詳細(xì)信息以及任何未完成的活動(dòng)
• 任何所需認(rèn)證的證明，例如 Cyber Essentials、ISO 認(rèn)證、產(chǎn)品認(rèn)證

獲取這些信息可能是一項(xiàng)艱巨的任務(wù)，尤其是對(duì)于擁有復(fù)雜供應(yīng)鏈的大型組織而言。

注意：此信息對(duì)攻擊者來(lái)說(shuō)是一個(gè)很有吸引力的目標(biāo)，因此所有 SCM 資產(chǎn)都應(yīng)保存在一個(gè)安全的存儲(chǔ)庫(kù)中，該存儲(chǔ)庫(kù)具有支持其設(shè)計(jì)的強(qiáng)大安全架構(gòu)。

映射供應(yīng)商的工具

有關(guān)現(xiàn)有供應(yīng)商的信息可能已經(jīng)存在于采購(gòu)系統(tǒng)中。如果供應(yīng)商有多個(gè)入口點(diǎn)，則需要匯總相關(guān)信息。根據(jù)組織的規(guī)模，考慮商業(yè)工具可能會(huì)有所幫助，這些工具可以：

• 協(xié)調(diào)現(xiàn)有的供應(yīng)鏈信息
• 幫助使有關(guān)供應(yīng)商保證的信息保持最新
• 監(jiān)控超出初始層級(jí)的供應(yīng)鏈，并識(shí)別承包商和分包商的集中風(fēng)險(xiǎn)
• 更容易連接、交互和可視化供應(yīng)鏈

供應(yīng)鏈中的分包商

供應(yīng)鏈中任何地方存在的漏洞，無(wú)論是在您的直接供應(yīng)商中，還是在他們分包給的供應(yīng)商中，都可能影響組織。對(duì)于大型組織而言，圍繞了解主要層級(jí)以外的實(shí)用性和有用性的決策應(yīng)該進(jìn)行評(píng)估，并且最初應(yīng)該僅捕獲有關(guān)直接承包商的信息。

需要沿著供應(yīng)鏈走多遠(yuǎn)？究竟分包了什么，其重要性如何（考慮到組織的風(fēng)險(xiǎn)標(biāo)準(zhǔn)）？這些問(wèn)題需要預(yù)先考慮獲取信息的需求與獲取信息的成本。你應(yīng)該：

• 確定使用的技術(shù)、系統(tǒng)和服務(wù)的重要性
• 考慮準(zhǔn)備投入多少精力來(lái)建立整個(gè)供應(yīng)鏈
• 與主要供應(yīng)商簽訂合同條款，以提供貫穿其供應(yīng)鏈的可見性
• 向供應(yīng)商保證如何使用這些信息以及誰(shuí)可以訪問(wèn)這些信息，因?yàn)楣?yīng)商可能對(duì)共享商業(yè)敏感信息持謹(jǐn)慎態(tài)度
• 使用此共享信息了解直接一級(jí)供應(yīng)商正在使用的主要共享供應(yīng)商，突出集中風(fēng)險(xiǎn)
• 確?？紤]了數(shù)據(jù)供應(yīng)鏈（也就是說(shuō)，產(chǎn)品可能會(huì)使用來(lái)自第三方的數(shù)據(jù)，甚至依賴于其他人的數(shù)據(jù)）

供應(yīng)商和分包商的合同條款

與供應(yīng)商和分包商簽訂的合同應(yīng)考慮以下條款：

• 事件管理響應(yīng)和通知時(shí)間框架以響應(yīng)違規(guī)（以及為組織提供支持以找到根本原因）
• 審計(jì)供應(yīng)商/分包商的能力（以及預(yù)期的審計(jì)頻率）
• 數(shù)據(jù)管理（只有必要的數(shù)據(jù)可以從組織網(wǎng)絡(luò)中傳輸出來(lái)）
• 數(shù)據(jù)完整性（數(shù)據(jù)是否通過(guò)身份驗(yàn)證和加密受到保護(hù)，如果數(shù)據(jù)保存在供應(yīng)商平臺(tái)上，數(shù)據(jù)會(huì)被隔離嗎？）
• 供應(yīng)商訪問(wèn)物理站點(diǎn)、信息系統(tǒng)和知識(shí)產(chǎn)權(quán)的管理控制（包括確保其保持最新的過(guò)程）
• 您的直接供應(yīng)商應(yīng)從其供應(yīng)鏈中提出的任何要求（如上所述）

入門

方法取決于組織的采購(gòu)和風(fēng)險(xiǎn)管理流程，以及可以使用的工具。以下是首次采用 SCM 的組織的一組頂級(jí)優(yōu)先事項(xiàng)。

1. 使用現(xiàn)有的商店（例如采購(gòu)系統(tǒng)）來(lái)構(gòu)建已知供應(yīng)商的列表。優(yōu)先考慮對(duì)組織至關(guān)重要的供應(yīng)商、系統(tǒng)、產(chǎn)品和服務(wù)。
2. 確定哪些信息有助于捕獲有關(guān)供應(yīng)鏈的信息。
3. 了解如何安全地存儲(chǔ)信息并管理對(duì)信息的訪問(wèn)。
4. 確定是否要收集有關(guān)您的供應(yīng)商分包商的信息，以及該鏈向下多遠(yuǎn)是有用的。

• 考慮使用額外的服務(wù)來(lái)評(píng)估供應(yīng)商并提供有關(guān)其網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況的補(bǔ)充信息。
• 對(duì)于新供應(yīng)商，請(qǐng)?jiān)诓少?gòu)流程中預(yù)先說(shuō)明希望供應(yīng)商提供什么。
• 對(duì)于現(xiàn)有供應(yīng)商，告知他們您想要獲取有關(guān)他們的哪些信息以及原因，并將從現(xiàn)有供應(yīng)商處收集的信息改進(jìn)到一個(gè)集中存儲(chǔ)庫(kù)中。

5. 更新標(biāo)準(zhǔn)合同條款，以確保在開始與供應(yīng)商合作時(shí)將所需信息作為標(biāo)準(zhǔn)提供。
6. 定義組織中最適合使用此信息的人員；這可能包括采購(gòu)、企業(yè)主、網(wǎng)絡(luò)安全和運(yùn)營(yíng)安全團(tuán)隊(duì)。讓他們了解信息存儲(chǔ)并提供訪問(wèn)權(quán)限。
7. 考慮創(chuàng)建一個(gè)劇本來(lái)處理事件發(fā)生的情況，您可能需要在擴(kuò)展的供應(yīng)鏈和第三方（例如執(zhí)法部門、監(jiān)管機(jī)構(gòu)甚至客戶）之間協(xié)調(diào)工作。
8. 最后，記錄由于供應(yīng)鏈映射而需要在采購(gòu)流程中更改的步驟。例如，可能需要考慮將無(wú)法令人滿意地證明滿足最低網(wǎng)絡(luò)安全需求的供應(yīng)商排除在外。