組織如何映射其供應鏈依賴關系，以便更好地理解和管理供應鏈中的風險。

介紹

本指南面向大中型組織，他們需要獲得信心或保證緩解與供應商合作相關的漏洞已到位。

什么是供應鏈映射？

供應鏈映射 (SCM) 是記錄、存儲和使用從公司供應鏈中涉及的供應商收集的信息的過程。目標是對您的供應商網絡有最新的了解，以便更有效地管理網絡風險，并進行盡職調查。

許多組織依靠供應商來交付產品、系統和服務。供應鏈通常龐大而復雜，有效地保護供應鏈可能很困難，因為脆弱性可能在其中的任何一點是固有的、引入的或被利用的。這使得很難知道您是否在整個供應鏈中擁有足夠的保護。

注：SCM遵循一切良好風險管理的原則；組織需要了解其供應鏈中固有的風險，然后引入與這些風險具體化的可能性（和影響）成比例的安全措施。

供應鏈管理的好處

了解供應商是誰、提供什么以及如何提供將幫助管理可能出現的網絡安全風險。映射供應鏈可以根據風險做出更明智的業務決策，具體而言：

• 更好地洞察可以通過合同更容易執行的網絡安全考慮因素
• 更充分地準備應對與供應鏈相關的網絡事件
• 建立可重復方法的能力，使您對供應商的安全實踐充滿信心，并可以建立長期合作伙伴關系
• 更容易遵守法律、法規和/或合同責任
• 定期評估供應鏈將降低網絡攻擊或破壞的可能性

不可能完全根除供應鏈攻擊。如果出現風險，能夠快速響應將限制對組織造成損害的范圍。

SCM 應包含哪些信息？

以一致的方式收集有關供應商的信息并將其存儲在訪問受控的集中存儲庫中，將確保更易于分析和維護。這最終將能夠更好地管理風險，因為將全面了解始終保持最新狀態的供應鏈。

可能有用的典型信息包括：

• 供應商及其分包商的完整清單，顯示他們如何相互聯系
• 提供什么產品或服務，由誰提供，以及該資產對您的組織的重要性
• 組織和供應商之間的信息流動（包括對該信息價值的理解）
• 供應組織內的保證聯系人
• 與上次評估的完整性有關的信息、下一次保證評估到期時間的詳細信息以及任何未完成的活動
• 任何所需認證的證明，例如 Cyber Essentials、ISO 認證、產品認證

獲取這些信息可能是一項艱巨的任務，尤其是對于擁有復雜供應鏈的大型組織而言。

注意：此信息對攻擊者來說是一個很有吸引力的目標，因此所有 SCM 資產都應保存在一個安全的存儲庫中，該存儲庫具有支持其設計的強大安全架構。

映射供應商的工具

有關現有供應商的信息可能已經存在于采購系統中。如果供應商有多個入口點，則需要匯總相關信息。根據組織的規模，考慮商業工具可能會有所幫助，這些工具可以：

• 協調現有的供應鏈信息
• 幫助使有關供應商保證的信息保持最新
• 監控超出初始層級的供應鏈，并識別承包商和分包商的集中風險
• 更容易連接、交互和可視化供應鏈

供應鏈中的分包商

供應鏈中任何地方存在的漏洞，無論是在您的直接供應商中，還是在他們分包給的供應商中，都可能影響組織。對于大型組織而言，圍繞了解主要層級以外的實用性和有用性的決策應該進行評估，并且最初應該僅捕獲有關直接承包商的信息。

需要沿著供應鏈走多遠？究竟分包了什么，其重要性如何（考慮到組織的風險標準）？這些問題需要預先考慮獲取信息的需求與獲取信息的成本。你應該：

• 確定使用的技術、系統和服務的重要性
• 考慮準備投入多少精力來建立整個供應鏈
• 與主要供應商簽訂合同條款，以提供貫穿其供應鏈的可見性
• 向供應商保證如何使用這些信息以及誰可以訪問這些信息，因為供應商可能對共享商業敏感信息持謹慎態度
• 使用此共享信息了解直接一級供應商正在使用的主要共享供應商，突出集中風險
• 確?？紤]了數據供應鏈（也就是說，產品可能會使用來自第三方的數據，甚至依賴于其他人的數據）

供應商和分包商的合同條款

與供應商和分包商簽訂的合同應考慮以下條款：

• 事件管理響應和通知時間框架以響應違規（以及為組織提供支持以找到根本原因）
• 審計供應商/分包商的能力（以及預期的審計頻率）
• 數據管理（只有必要的數據可以從組織網絡中傳輸出來）
• 數據完整性（數據是否通過身份驗證和加密受到保護，如果數據保存在供應商平臺上，數據會被隔離嗎？）
• 供應商訪問物理站點、信息系統和知識產權的管理控制（包括確保其保持最新的過程）
• 您的直接供應商應從其供應鏈中提出的任何要求（如上所述）

入門

方法取決于組織的采購和風險管理流程，以及可以使用的工具。以下是首次采用 SCM 的組織的一組頂級優先事項。

1. 使用現有的商店（例如采購系統）來構建已知供應商的列表。優先考慮對組織至關重要的供應商、系統、產品和服務。
2. 確定哪些信息有助于捕獲有關供應鏈的信息。
3. 了解如何安全地存儲信息并管理對信息的訪問。
4. 確定是否要收集有關您的供應商分包商的信息，以及該鏈向下多遠是有用的。

• 考慮使用額外的服務來評估供應商并提供有關其網絡風險狀況的補充信息。
• 對于新供應商，請在采購流程中預先說明希望供應商提供什么。
• 對于現有供應商，告知他們您想要獲取有關他們的哪些信息以及原因，并將從現有供應商處收集的信息改進到一個集中存儲庫中。

5. 更新標準合同條款，以確保在開始與供應商合作時將所需信息作為標準提供。
6. 定義組織中最適合使用此信息的人員；這可能包括采購、企業主、網絡安全和運營安全團隊。讓他們了解信息存儲并提供訪問權限。
7. 考慮創建一個劇本來處理事件發生的情況，您可能需要在擴展的供應鏈和第三方（例如執法部門、監管機構甚至客戶）之間協調工作。
8. 最后，記錄由于供應鏈映射而需要在采購流程中更改的步驟。例如，可能需要考慮將無法令人滿意地證明滿足最低網絡安全需求的供應商排除在外。