今天,，我們就供應(yīng)鏈安全,，繼續(xù)探討。如果已經(jīng)遵循良好的采購和合同實(shí)踐,，以下提供可以考慮的其他因素,，以便我們更好的評(píng)估供應(yīng)鏈管理實(shí)踐的優(yōu)劣好壞,。

　　與供應(yīng)商建立伙伴關(guān)系。如果組織供應(yīng)商采用組織供應(yīng)鏈安全方法作為他們自己的方法,，那么與組織僅僅強(qiáng)制要求合規(guī)相比，成功的可能性要大得多,。

　　不經(jīng)協(xié)商就規(guī)定要求,。

　　通過比傳統(tǒng)產(chǎn)品保證活動(dòng)更早地開始討論安全性，讓供應(yīng)商從一開始就考慮安全性,。

　　只需將安全視為產(chǎn)品保證問題即可,。

　　向供應(yīng)商解釋實(shí)現(xiàn)所需安全改進(jìn)的好處：即這些將滿足合規(guī)要求，或?yàn)楣?yīng)商提供贏得其他合同的潛力,。

　　只需告訴供應(yīng)商該做什么,，但不提供任何好處的解釋：因此，一些供應(yīng)商可能不愿意競(jìng)標(biāo)合同,。

　　考慮如何讓可能需要合法但臨時(shí)/偶爾和/或有限訪問業(yè)務(wù)的供應(yīng)商這樣做,，而不必遵守對(duì)供應(yīng)商的最低安全要求,。記錄這些約定的程序并就其使用對(duì)所有各方進(jìn)行培訓(xùn)。

　　不對(duì)這種情況做任何規(guī)定,，要么要求他們滿足組織安全要求（即使他們對(duì)此沒有什么理由）,，要么忽略它并讓人們自己安排（希望一切順利）。

　　如有需要,，制定通用合同工件（即風(fēng)險(xiǎn)評(píng)估和自我評(píng)估安全問卷）以支持合同流程并使組織的供應(yīng)商能夠?qū)⑦@些信息傳遞給分包商,。與供應(yīng)商分享這些信息，并對(duì)所有員工進(jìn)行使用培訓(xùn),。

　　在簽約過程中提供很少/不提供建議,，允許供應(yīng)商做自己的事情-并且無法理解這在保證整體供應(yīng)鏈安全方面的影響。

　　要求在適當(dāng)?shù)臅r(shí)間間隔對(duì)這些人工制品進(jìn)行審查,，例如在合同續(xù)簽時(shí),、發(fā)生重大變化時(shí)或在應(yīng)對(duì)重大事件時(shí)。

　　擔(dān)心最初的合同,，但對(duì)后續(xù)的合同續(xù)約興趣不大/沒有興趣：未能發(fā)現(xiàn)可能出現(xiàn)的變化/問題,。

　　確保安全考慮是合同競(jìng)爭(zhēng)過程的一個(gè)組成部分，并影響供應(yīng)商的選擇,。

　　要求供應(yīng)商在合同競(jìng)爭(zhēng)的各個(gè)階段提供其安全狀態(tài)和滿足最低安全要求的能力的適當(dāng)證據(jù)：也許尋求基本保證供應(yīng)商有能力滿足法律和監(jiān)管要求,，作為第一道門，在初始合同廣告,，但隨著競(jìng)爭(zhēng)范圍縮小到幾個(gè)首選投標(biāo)人的選擇,，需要更多的細(xì)節(jié)。

　　確保這些不會(huì)給潛在供應(yīng)商帶來不必要的工作量——尤其是在合同的早期階段,，因?yàn)橛泻芏嗪贤暾?qǐng)人,。

　　只在簽約過程結(jié)束時(shí)擔(dān)心安全性-這些考慮因素對(duì)選擇供應(yīng)商幾乎沒有影響。

　　要求提供超出需要,、可以處理或?qū)⑹褂玫母嘈畔ⅲ寒?dāng)潛在供應(yīng)商贏得合同的機(jī)會(huì)很小時(shí),，可能會(huì)給他們帶來不必要的工作量。當(dāng)供應(yīng)商不以這些理由競(jìng)爭(zhēng)合同時(shí),，會(huì)感到驚訝,。

　　當(dāng)使用自我評(píng)估安全問卷來幫助簽訂合同時(shí)，確保這符合設(shè)置的最低安全要求-并將供應(yīng)商的工作量減少到必要的最低限度,。僅當(dāng)供應(yīng)商進(jìn)入合同后期階段并且是考慮簽訂合同的極少數(shù)供應(yīng)商之一時(shí)才需要更詳細(xì)的信息,。

　　只需清除一份現(xiàn)有的基于ISO27001的問卷，認(rèn)為可能會(huì)這樣做,，并讓供應(yīng)商完成該問卷：即使這與使用的最低安全控制措施（即網(wǎng)絡(luò)基本要素或網(wǎng)絡(luò)安全10步）沒有相似之處,。

　　沒有考慮這將為供應(yīng)商帶來的工作量，也沒有尋求將要求與合同競(jìng)爭(zhēng)階段相匹配。

　　允許供應(yīng)商有時(shí)間實(shí)現(xiàn)所需的安全改進(jìn)：制定風(fēng)險(xiǎn)標(biāo)準(zhǔn)來管理此過渡（即要求供應(yīng)商提供安全改進(jìn)計(jì)劃,，說明將如何取得進(jìn)展）并規(guī)定何時(shí)對(duì)進(jìn)展進(jìn)行檢查并應(yīng)進(jìn)行檢查,。

　　設(shè)定不切實(shí)際的截止日期，或者沒有明確或一致的風(fēng)險(xiǎn)標(biāo)準(zhǔn)來告知無法在商定的時(shí)間范圍內(nèi)進(jìn)行這些改進(jìn)的供應(yīng)商的決策,。這可能意味著無法與此類供應(yīng)商合作-可能導(dǎo)致能力下降和供應(yīng)商選擇減少,。

　　確認(rèn)供應(yīng)商可能擁有的任何現(xiàn)有安全認(rèn)證或先前/現(xiàn)有合同批準(zhǔn)，并允許他們重復(fù)使用此類證據(jù)來證明這如何滿足某些最低安全要求,。但是要適當(dāng)?shù)剡M(jìn)行調(diào)查以確認(rèn)情況確實(shí)如此,。

　　忽略任何現(xiàn)有的安全認(rèn)證或合同批準(zhǔn)，這些要求供應(yīng)商無論如何都要遵守最低安全要求,。這可能會(huì)給供應(yīng)商帶來不必要的工作和成本,，從而損害這些關(guān)系。

　　期望所有供應(yīng)商都實(shí)現(xiàn)CyberEssentials,。

　　但請(qǐng)理解,，一些供應(yīng)商——即使是那些擁有ISO27001等現(xiàn)有安全認(rèn)證的供應(yīng)商，可能會(huì)發(fā)現(xiàn)難以滿足計(jì)劃的要求,。但是,，如果出于任何原因無法滿足計(jì)劃的要求，應(yīng)該設(shè)法了解供應(yīng)商正在采取哪些步驟來管理這些風(fēng)險(xiǎn),，例如通過替代業(yè)務(wù)流程或補(bǔ)償安全控制,。應(yīng)該檢查以確認(rèn)這些是合適的。

　　期望所有供應(yīng)商都實(shí)現(xiàn)CyberEssentials,，但不考慮特殊情況,，采取非黑即白的方法。不要承認(rèn)任何困難并拒絕向發(fā)現(xiàn)CyberEssentials認(rèn)證難以獲得的供應(yīng)商授予合同,，從而進(jìn)一步損害自己的能力和供應(yīng)商選擇,。

　　提供選擇的最低安全要求與常見商業(yè)安全方案的映射，以幫助供應(yīng)商重復(fù)使用證據(jù),，并幫助其他客戶評(píng)估等效性,。這也將有助于供應(yīng)商展示他們?nèi)绾闻c國際計(jì)劃保持一致。

　　不提供支持,，期望供應(yīng)商自己進(jìn)行映射：可能會(huì)增加工作量并導(dǎo)致不一致——可能會(huì)破壞客戶對(duì)他們提供的證據(jù)的信任,。

　　監(jiān)控并持續(xù)改進(jìn)流程，停止或改進(jìn)不成比例,、無效或不合理的流程。

　　允許不成比例,、無效或不合理的流程保持不變,。未能聽取一致的、合理的改進(jìn)要求。