本文是网络安全供应链风险管理(C-SCRM)系列文章的第四部分。.
在本系列的前一篇博文中, 我们研究了外包时需要考虑的一些重要问题, 并列出了可外包的C-SCRM项目的一些要素. 今天我们将讨论其中的第一个问题:制定C-SCRM政策和建立C-SCRM计划.
为什么需要C-SCRM策略?
C-SCRM策略的目的是设置范围, 目标, 以及企业中C-SCRM的治理结构, 并传达高层管理人员的意图. 它应该向所有员工明确表明网络安全供应链风险管理对企业的重要性, 与您的业务的更广泛的风险管理框架一致. 就像你的其他政策一样, 它需要定期审查并保持更新,以确保随着业务变化而保持相关性.
建立C-SCRM计划
对于C-SCRM, 这取决于你的业务规模, 最初,你的项目可能只有两个项目:评估当前供应链的网络安全,审查当前的采购流程. 稍后您可能会添加对供应商生命周期管理过程的回顾.
您可能决定从一开始就实现其他项目, 例如在整个企业中建立C-SCRM结构, 有专门的员工和项目管理办公室, 建立一个培训项目.
如果你在内部开发软件, 您还可以考虑检查软件开发生命周期的安全性, 查看从开源库获取的软件的安全性.
您的计划的范围将取决于您的业务规模和需求, 但无论大小如何, 方案设置的早期部分应是设立一个指导小组.
对于大型组织来说, 理想情况下,C-SCRM指导小组应该包括直接参与的部门(如法律和IT)的代表。, 但是对于小企业来说, 指导小组可以小得多, 即使是一个人, 如果那个人有适当的权力. 他们的任务是为如何在业务中管理C-SCRM风险定下基调, 同意, 以及后期的支持和监控, 高层次的实施计划. 这个计划将涵盖预算, 时间尺度, 角色, 以及项目间的责任. 其中一些角色和职责可以通过外包来完成, 内部资源是否不足.
C-SCRM项目包括什么?
规划是一组项目,每个项目都支持规划的总体目标. 该方案的早期任务应包括:
- 绘制当前供应链:建立当前供应商的清单, 合同(和终止日期)以及所提供的产品和服务
- 审查所提供的产品和服务清单,以评估其对业务的重要性, 并根据服务或产品类型确定相关的控制或要求
每个供应商的任务大小将取决于该供应商对业务的重要性. 这些结果将用于下一步:对当前供应商的网络安全进行评估.
以后的任务或项目可能包括:
- 制定政策和程序,使C-SCRM集成到业务中
- 维护与网络安全供应链风险相关的企业风险登记册的特定元素
- 制定和监控衡量项目成功与否的指标
- 为减轻风险评估确定的任何安全风险所需的新控制制定实施计划
- 开发和维护C-SCRM计划,以监控已实施的控制
- 制定事件响应管理计划
- 通过培训和重新定义绩效指标,将C-SCRM嵌入到业务中.
无论你的C-SCRM意图有多大, 相互协调C-SCRM任务,并与整个组织的相关任务进行协调,例如企业范围的风险管理, 而业务连续性计划——将比单独进行每个项目取得更好的结果.
在下一篇文章中, 我们将评估您当前供应链的网络安全, C-SCRM项目的关键步骤是什么. 这可以与评估当前的C-SCRM过程并行进行,也可以串联进行, 取决于您的课程可用的资源水平.
在以后的文章中,我们将讨论:
- 回顾当前流程:我们可以做得更好的地方?
- 实施和嵌入C-SCRM计划
如果您需要帮助来管理或完成您的课程,请致电0113 5323763与CSP联系.
对CSP
CSP是一家专业的安全咨询公司,帮助我们的客户驾驭这个日益互联的世界. 我们的团队可以:
- 根据您的情况,对安全要求提出建议
- 在每个阶段根据您的安全要求评估您的供应商:
- 检查他们对安全问题的回答
- 审查合同中的担保条款
- 审核选定的供应商是否符合你们的安全要求.
- 与您合作,加强您的政策和流程,以提高整个采购过程的安全性.
请十大网博靠谱平台 在这里 或者呼唤我们 0113 5323763 谈谈我们能帮上什么忙.
