组织如何映射其供应链依赖关系，以便更好地理解和管理供应链中的风险。

介绍

本指南面向大中型组织，他们需要获得信心或保证缓解与供应商合作相关的漏洞已到位。

什么是供应链映射？

供应链映射 (SCM) 是记录、存储和使用从公司供应链中涉及的供应商收集的信息的过程。目标是对您的供应商网络有最新的了解，以便更有效地管理网络风险，并进行尽职调查。

许多组织依靠供应商来交付产品、系统和服务。供应链通常庞大而复杂，有效地保护供应链可能很困难，因为脆弱性可能在其中的任何一点是固有的、引入的或被利用的。这使得很难知道您是否在整个供应链中拥有足够的保护。

注：SCM遵循一切良好风险管理的原则；组织需要了解其供应链中固有的风险，然后引入与这些风险具体化的可能性（和影响）成比例的安全措施。

供应链管理的好处

了解供应商是谁、提供什么以及如何提供将帮助管理可能出现的网络安全风险。映射供应链可以根据风险做出更明智的业务决策，具体而言：

• 更好地洞察可以通过合同更容易执行的网络安全考虑因素

• 更充分地准备应对与供应链相关的网络事件

• 建立可重复方法的能力，使您对供应商的安全实践充满信心，并可以建立长期合作伙伴关系

• 更容易遵守法律、法规和/或合同责任

• 定期评估供应链将降低网络攻击或破坏的可能性

不可能完全根除供应链攻击。如果出现风险，能够快速响应将限制对组织造成损害的范围。

SCM 应包含哪些信息？

以一致的方式收集有关供应商的信息并将其存储在访问受控的集中存储库中，将确保更易于分析和维护。这最终将能够更好地管理风险，因为将全面了解始终保持最新状态的供应链。

可能有用的典型信息包括：

• 供应商及其分包商的完整清单，显示他们如何相互联系

• 提供什么产品或服务，由谁提供，以及该资产对您的组织的重要性

• 组织和供应商之间的信息流动（包括对该信息价值的理解）

• 供应组织内的保证联系人

• 与上次评估的完整性有关的信息、下一次保证评估到期时间的详细信息以及任何未完成的活动

• 任何所需认证的证明，例如 Cyber Essentials、ISO 认证、产品认证

获取这些信息可能是一项艰巨的任务，尤其是对于拥有复杂供应链的大型组织而言。

注意：此信息对攻击者来说是一个很有吸引力的目标，因此所有 SCM 资产都应保存在一个安全的存储库中，该存储库具有支持其设计的强大安全架构。

映射供应商的工具

有关现有供应商的信息可能已经存在于采购系统中。如果供应商有多个入口点，则需要汇总相关信息。根据组织的规模，考虑商业工具可能会有所帮助，这些工具可以：

• 协调现有的供应链信息

• 帮助使有关供应商保证的信息保持最新

• 监控超出初始层级的供应链，并识别承包商和分包商的集中风险

• 更容易连接、交互和可视化供应链

供应链中的分包商

供应链中任何地方存在的漏洞，无论是在您的直接供应商中，还是在他们分包给的供应商中，都可能影响组织。对于大型组织而言，围绕了解主要层级以外的实用性和有用性的决策应该进行评估，并且最初应该仅捕获有关直接承包商的信息。

需要沿着供应链走多远？究竟分包了什么，其重要性如何（考虑到组织的风险标准）？这些问题需要预先考虑获取信息的需求与获取信息的成本。你应该：

• 确定使用的技术、系统和服务的重要性

• 考虑准备投入多少精力来建立整个供应链

• 与主要供应商签订合同条款，以提供贯穿其供应链的可见性

• 向供应商保证如何使用这些信息以及谁可以访问这些信息，因为供应商可能对共享商业敏感信息持谨慎态度

• 使用此共享信息了解直接一级供应商正在使用的主要共享供应商，突出集中风险

• 确保考虑了数据供应链（也就是说，产品可能会使用来自第三方的数据，甚至依赖于其他人的数据）

供应商和分包商的合同条款

与供应商和分包商签订的合同应考虑以下条款：

• 事件管理响应和通知时间框架以响应违规（以及为组织提供支持以找到根本原因）

• 审计供应商/分包商的能力（以及预期的审计频率）

• 数据管理（只有必要的数据可以从组织网络中传输出来）

• 数据完整性（数据是否通过身份验证和加密受到保护，如果数据保存在供应商平台上，数据会被隔离吗？）

• 供应商访问物理站点、信息系统和知识产权的管理控制（包括确保其保持最新的过程）

• 您的直接供应商应从其供应链中提出的任何要求（如上所述）

入门

方法取决于组织的采购和风险管理流程，以及可以使用的工具。以下是首次采用 SCM 的组织的一组顶级优先事项。

1. 使用现有的商店（例如采购系统）来构建已知供应商的列表。优先考虑对组织至关重要的供应商、系统、产品和服务。

2. 确定哪些信息有助于捕获有关供应链的信息。

3. 了解如何安全地存储信息并管理对信息的访问。

4. 确定是否要收集有关您的供应商分包商的信息，以及该链向下多远是有用的。

• 考虑使用额外的服务来评估供应商并提供有关其网络风险状况的补充信息。

• 对于新供应商，请在采购流程中预先说明希望供应商提供什么。

• 对于现有供应商，告知他们您想要获取有关他们的哪些信息以及原因，并将从现有供应商处收集的信息改进到一个集中存储库中。

5. 更新标准合同条款，以确保在开始与供应商合作时将所需信息作为标准提供。

6. 定义组织中最适合使用此信息的人员；这可能包括采购、企业主、网络安全和运营安全团队。让他们了解信息存储并提供访问权限。

7. 考虑创建一个剧本来处理事件发生的情况，您可能需要在扩展的供应链和第三方（例如执法部门、监管机构甚至客户）之间协调工作。

8. 最后，记录由于供应链映射而需要在采购流程中更改的步骤。例如，可能需要考虑将无法令人满意地证明满足最低网络安全需求的供应商排除在外。