本文是网络安全供应链风险管理(C-SCRM)系列文章的第四部分。.
In the previous blog post in this series, 我们研究了外包时需要考虑的一些重要问题, 并列出了可外包的C-SCRM项目的一些要素. 今天我们将讨论其中的第一个问题:制定C-SCRM政策和建立C-SCRM计划.
Why do you need a C-SCRM policy?
The purpose of a C-SCRM policy is to set the scope, objectives, and governance structure for C-SCRM in your business, and to convey the intentions of senior management. 它应该向所有员工明确表明网络安全供应链风险管理对企业的重要性, 与您的业务的更广泛的风险管理框架一致. Like all your other policies, 它需要定期审查并保持更新,以确保随着业务变化而保持相关性.
Setting up a C-SCRM programme
For C-SCRM, and depending on the size of your business, 最初,你的项目可能只有两个项目:评估当前供应链的网络安全,审查当前的采购流程. 稍后您可能会添加对供应商生命周期管理过程的回顾.
您可能决定从一开始就实现其他项目, such as establishing a C-SCRM structure across your enterprise, with dedicated staff and a programme management office, and setting up a training programme.
If you develop software in-house, 您还可以考虑检查软件开发生命周期的安全性, 查看从开源库获取的软件的安全性.
您的计划的范围将取决于您的业务规模和需求, but whatever the size, 方案设置的早期部分应是设立一个指导小组.
For a large organisation, 理想情况下,C-SCRM指导小组应该包括直接参与的部门(如法律和IT)的代表。, but for small businesses, the steering group could be much smaller, even a single person, if that person had appropriate authority. 他们的任务是为如何在业务中管理C-SCRM风险定下基调, and to agree, and later support and monitor, a high-level implementation plan. This plan would cover budget, timescales, roles, and responsibilities across projects within the programme. 其中一些角色和职责可以通过外包来完成, should in-house resources be insufficient.
What would the C-SCRM programme involve?
规划是一组项目,每个项目都支持规划的总体目标. Early tasks for the programme should include:
- 绘制当前供应链:建立当前供应商的清单, 合同(和终止日期)以及所提供的产品和服务
- 审查所提供的产品和服务清单,以评估其对业务的重要性, 并根据服务或产品类型确定相关的控制或要求
每个供应商的任务大小将取决于该供应商对业务的重要性. 这些结果将用于下一步:对当前供应商的网络安全进行评估.
Later tasks or projects could include:
- 制定政策和程序,使C-SCRM集成到业务中
- 维护与网络安全供应链风险相关的企业风险登记册的特定元素
- 制定和监控衡量项目成功与否的指标
- 为减轻风险评估确定的任何安全风险所需的新控制制定实施计划
- 开发和维护C-SCRM计划,以监控已实施的控制
- Developing an incident response management plan
- 通过培训和重新定义绩效指标,将C-SCRM嵌入到业务中.
Whatever the scale of your C-SCRM intentions, 相互协调C-SCRM任务,并与整个组织的相关任务进行协调,例如企业范围的风险管理, 而业务连续性计划——将比单独进行每个项目取得更好的结果.
In our next post, 我们将评估您当前供应链的网络安全, which is a key step in your C-SCRM programme. 这可以与评估当前的C-SCRM过程并行进行,也可以串联进行, 取决于您的课程可用的资源水平.
In future posts, we will talk about:
- Reviewing current processes: what could we do better?
- Implementing and embedding a C-SCRM programme
如果您需要帮助来管理或完成您的课程,请致电0113 5323763与CSP联系.
About CSP
CSP是一家专业的安全咨询公司,帮助我们的客户驾驭这个日益互联的世界. Our team can:
- advise on security requirements, based on your situation
- 在每个阶段根据您的安全要求评估您的供应商:
- reviewing their responses to security questions
- reviewing security clauses in contracts
- 审核选定的供应商是否符合你们的安全要求.
- 与您合作,加强您的政策和流程,以提高整个采购过程的安全性.
Please contact us here or call us on 0113 5323763 to talk about how we can help.