🔥 热搜 🔥
11'"1'123456kN朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻张靓颖抖音鱿鱼游戏朱令
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
11'"1'123456kN朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻张靓颖抖音鱿鱼游戏朱令
分类
社会娱乐国际人权科技经济其它
查看原文
其他

如何建立一个成功的供应链风险管理项目

星云 数世咨询 2022-06-12
企业在SCRM(Supply Chain Risk Management,供应链风险管理)项目中,企业需要注意三个方向的东西:供应商管理、风险降低、以及项目成熟度。
供应商管理
典型的供应商管理项目应该包括至少项目:

  • 供应商管理政策以及流程(确保供应商管理人员可以有机会休假,而在ta不工作的时候有其他人可以接替这个 位置)

  • 供应商资质认证流程

  • 基于年份的文档收录

  • 向供应商要求最新的安全资质、财务信息等资料的日程表

  • 衡量供应商重要度以及决定资质评估分级的评级系统

  • 供应商表现评分系统

  • 各个供应商的联系方式

  • 负责发起、审查、分类、调控整个流程的个人或者部门

记录好每个自己环境中的供应商,不同业务的供应商数量也会有所不同。即使对于一些小型企业,虚拟或者实体的文档数量都相当惊人。这就意味着需要选择合适的地方存放这些文档,并做好备份。
下一步就要决定如何认证厂商的资质:是直接只要供应商的SOC 2报告,或者另外还需要一些供应链上其他厂商的安全资质以及合规证明?
一般而言,至少需要更上一级的第三方资质。举例而言,如果自己的供应商有自身产品的SOC 2报告,而产品本身在一个第三方数据中心;那么一般而言,不仅需要供应商的SOC 2报告,还需要第三方数据中心的SOC 2或者其他报告。但如果这个第三方数据中心还有在另一个第四方数据中心之中,那么可能还需要考虑是否要递四方的相关报告。
保持通信线路畅通是必须的。企业可能会有各种想要询问供应商的问题,比如“你们如何处理最新的漏洞”、“你们什么时候能跟上某国最新的合规要求”等等。保证联系人,甚至是花钱确保一条直通的支持线路,在这一步中都是非常重要的。
另外,需要关注一下SLA中的内容。如果在SLA中可能并未标明供应商对某些紧急情况需要担负的责任,那么一些企业认为需要马上完成的工作(比如快速修复某个安全漏洞)就对供应商而言不是必须要做的。企业会觉得某些漏洞应该数天内修复,但厂商却未必有同样的想法,甚至会认为对他们而言这是一个优先级非常低的事件。
企业还需要制定业务战略来减少和管理攻击面。通过增加供应商的同时,减少不同供应商所需要承担的风险责任,这可以成为一种策略。多个供应商中的一个受到攻击或许会产生损失,但是远比一个拥有大部分,甚至所有资源的供应商受到攻击产生的损失要小得多。这个策略是通过扩大攻击面,减少受攻击的损失——不过代价是因需要管理多个供应商产生的经济风险。
当然,另一方面,减少供应商数量,从而减少攻击面,是另一种策略。管理更少的供应商可以节省时间和成本,但可能需要更多 的内部专家建议,以及更多的内部提供支持的时长。
风险降低
除了技术层面的网络安全风险之外,企业还要在供应链中考虑到其他风险。
• 经济风险
如果你的一个供应商面临破产,会对你的企业有什么样的影响?如果你仓储的供应商被收购了,又会如何?相关的隐私和安全协议会有什么改变?时刻注意其他提供同类服务的供应商,以防万一。像PaaS和IaaS这样的供应商一般比较稳定,不容易发生变化,因此需要考虑的东西更多在于一旦要改变服务商,会需要考虑哪些其他东西。
• 运营风险
一旦某个供应商服务中断,会对相关产品和服务产生怎样的影响?在这个风险中,需要考虑到业务连续性以及灾后重建功能。企业至少需要考虑在业务相关供应商出现中断时应该如何处理。
收购策略也在这类风险之中。企业需要基于购买意向、安全知识、以及IT运营的涉及面来制定一系列的流程。
•隐私与合规风险
一旦客户的数据在供应商侧被阅览或者获取了该采取什么样的措施?企业需要清楚,如果供应商发生了数据泄露事件该如何报告和通知。
共同保密协议可以作为客户和供应商之间的一个合约基线。这些协议可能 会很复杂,但它们至少要能够保证共享的信息不被第三方获取,以及泄露的赔偿措施。
• 软件风险
如果使用中的软件出现漏洞该如何处理?供应商使用何种软件开发生命周期模型?软件合约商是否被仔细审查过?供应商是否有MDM或者BYOD政策?你是否需要对比相关的下载软件哈希值?
• 声誉风险
考虑到这会直接影响到企业的长远发展,声誉风险可能是最大的风险。谁愿意和缺少安全基础的企业合作呢?企业需要考虑自己会因为安全不到位产生多大的损失。
这个损失不只是在于品牌刚开始受到多少影响,还关乎品牌的长久发展以及稳定性。
对于安全人员而言,有能力实施合理的安全策略可以大大提升企业的名誉;能提供公开的报告、政策、流程也能提升他人的信任度。
项目成熟度
一个项目的启动以及长久的维持需要坚韧的毅力。维持一个SCRM不仅需要优秀的项目管理能力,还需要多个部门之间的合作和沟通。
业务、合规、治理和法律风险决定了企业的评估广度以及需要的相关资质。除了SCRM之外,企业还需要基于行业建立一些列的审计制度,或者自检制度。
企业要秉着开放、诚信和守序的态度。能够提升SCRM成熟度的方式之一,就是让其他人都明白安全态势的情况:做了哪些措施来纠正之前的问题,而将来的计划又是什么。
把自己放在供应商的位置思考一下。或许供应商自身没有合规要求,也不是SaaS服务,但是企业可以通过模拟顶尖公司的行为方式,提升保护自己客户数据的能力。
另外,思考你希望那些拥有你数据的厂商给你什么样的保证。你个人会希望银行,或者你孩子的医疗服务商给你什么样的保证?对于社交平台又会有什么样的保护期望?
当你开始从个人思考你需要的东西的时候,自然就能明白自己的客户会对自己有怎样的期望。然后,你可以从中选取出你希望从你供应商处期望的承诺。
要考虑到自己可能会进行诉讼。想象一下自己在法庭上被律师提问:你是否知晓这些风险?你做了什么?是否有阶段性的风险和威胁报告?你是否知道自己的团队在管理和监控供应商行为?是否有相关流程和项目锁定、管理和减缓脆弱点?这些问题会不停地出现。
违法行为和事故总会发生,但这不代表企业就不进行合理的措施以减少和环节问题发生的可能性。
最后一点,就是需要提前准备好事件响应计划(Incident Response Plan, IRP)。在进行规划的同时,进一步完善自己的项目,因为总会有些意外发生。有一个知道如何响应事件的计划始终对于项目成熟度的提升非常关键。
关键词:供应链安全;风险管理;

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存