CyberVadis是如何支持NCSC供应链安全原则的

全球互联给供应链企业带来了巨大的机遇。但同时，这也导致了更大的网络威胁。只要一个供应商容易受到网络威胁，整个供应链网络就会暴露，企业就可能遭受供应中断、恢复成本和可能的赎金要求，以及潜在的诉讼。

为了帮助全球商业领袖更好地控制他们的供应链，英国国家网络安全中心(NCSC)提出供应链安全的12项原则。

这些原则被分为四个阶段。以下是这些阶段和关键原则的概述，以及CyberVadis如何帮助确保您的企业遵守这些原则。

一、了解风险

英国国家网络安全中心（NCSC）提出的第一个阶段是了解和收集关于供应商的必要信息，以了解他们给你的组织带来的风险。这个阶段包括三个首要原则:

1.了解需要保护的内容及其原因

与供应商和经销商接触不仅仅需要提供商品和服务，还需要交流信息。这就是为什么认识到你所签合同的敏感性以及你的合作伙伴所掌握的信息的价值是非常重要的。

2.了解你的供应商是谁，并对他们的安全性有所了解

您的企业可能会尽职保护其数据，但您不能总是依赖他人来做同样的事情。因此，了解您的供应商是谁，他们当前的安全安排有多成熟和有效，以及您应该要求他们提供什么样的安全保护非常重要。然而，由于范围内的供应商数量庞大，了解供应商的安全性极具挑战性。

3.了解供应链带来的安全风险

仅仅了解供应商制定的保护数据的政策是不够的:为了保护您的供应链，您必须评估这些安排对您的业务带来的风险。

公司应该知道他们的供应商是谁，按照重要程度对他们进行分类，并评估他们的网络安全状况，以便了解他们给组织带来的风险。

CyberVadis提供了一个集成的解决方案，企业可以通过一个协作平台轻松创建和管理他们的供应商组合。还就如何根据供应商的风险状况对其进行分类提供指导。

CyberVadis的信息安全分析师通过基于证据的评估来评估所有被请求公司的网络安全状况，并为每个公司提供详细的记分卡和改进计划，以促进最佳实践的采用并帮助他们发展其安全状况。更重要的是，您可以与您的供应商就他们的改进行动进行协作，以确保他们满足您的客户需求。

二、建立控制

第二阶段旨在帮助您提高和维护供应链的安全性。它由以下六项原则组成:

4.向供应商传达您对安全需求的看法

网络安全应该是每个企业关注的首要问题，但可悲的是，一些企业在实施安全措施方面仍然松懈。采购、安全和第三方风险管理团队必须确保他们的供应商不仅了解他们为您的数据提供充分保护的责任，而且还遵守他们的安全责任和相关的安全要求。

5.为您的供应商设定并传达最低安全要求

设定网络安全的最低标准、保护您提供给供应商的信息以及明确您的安全要求非常重要。

6.将安全考虑纳入您的合同流程，并要求您的供应商也这样做

将您的安全考虑纳入合同流程将允许您在整个合同过程中管理安全性。要求您的潜在供应商提供其安全方法的证据进一步帮助您覆盖所有基础。

7.履行作为供应商和消费者的安全责任

由于您需要强制执行某些措施，因此您需要确保满足所有网络安全要求。您必须在自己的组织中展示对网络安全原则的理解，并确保所有员工都遵守您的准则。此外，您的企业应该欢迎客户可能要求的任何审计面谈。

8.提高供应链中的安全意识

为了使您的安全工作取得成功，所有各方必须保持一致，这就是为什么您必须使用易于理解的语言向您的供应商解释您的安全风险。鼓励他们确保关键员工训练有素。运营经理，是关键的工商管理职业并在很大程度上被视为任何公司活动的骨干，必须训练有素，能够密切关注公司的网络安全表现。采购专业人员必须了解在供应商选择过程中需要注意哪些方面。同时，营销专业人士必须警惕他们发布的信息，并适当保护所有客户数据。

9.为安全事件提供支持

尽管您的供应商应该准备好管理安全事件的流程，但您的企业应该准备好在必要时提供支持。

CyberVadis提供透明的解决方案来管理您的供应链安全：

首先，CyberVadis根据行业标准和法规(如ISO 27001 NIST CSF)进行网络安全评估还有GDPR。所有供应商一旦被评估，不仅可以与请求评估的企业公司共享其记分卡，还可以与所有现有和潜在的客户共享。
被评估公司收到的改进计划有助于您监控进度，并询问具体改进措施的优先顺序。这种透明的方法使被评估供应商的进度一目了然，从而提高他们的网络安全成熟度(供应商可以轻松地将其改进卡从待办事项、进行中状态更新为完成状态)。

其次，CyberVadis为所有提出请求的公司提供了根据与供应商的关系为其供应商定义特定风险阈值的能力(即，您与他们共享个人数据、商业敏感数据、网络连接或基于他们的知识或任何信息他们是关键的其他的标准)。根据这些阈值，被请求的公司可以被标记为“有风险”或“通过”，然后您可以采取必要的措施来确保它们符合您的安全要求。

最后，借助CyberVadis，提出申请的公司能够在采购流程的每个阶段评估其供应商的网络安全流程，确保不会出现意外。例如，CyberVadis可以在招标书阶段对潜在供应商进行评估，使提出要求的公司在任何协议或合同敲定之前就能了解其潜在供应商的表现。

三、检查你的安排

第三阶段的目的是帮助你对建立供应链控制的方法有信心。它由一个原理组成，描述如下:

10.将保证活动融入供应链管理

正如您必须让自己的组织接受安全性能和消费者审计的向上报告一样，您的供应商也应该这样做。在你的合同中加入“审计权”条款，并在合理的情况下提出保证要求。

CyberVadis在所有这些领域协助提出要求的公司，使它们能够更好地控制它们选择与之合作的供应商类型。

四、持续改进

随着供应链的发展和网络安全原则的不断完善，这最后一个阶段旨在帮助组织继续改进和维护其协议，以确保长期保护。这是这个阶段的两个原则:

11.鼓励供应链内安全性的持续改进

用你自己的标准来要求你的供应商，并鼓励他们继续改进他们的安全措施。

12.与供应商建立信任

组织必须努力建立战略合作伙伴关系，并与其行业中的关键参与者建立信任。鼓励并重视供应商的投入，允许他们管理分包商，并保持持续有效的沟通。

CyberVadis将对您的供应商组合进行年度(或按需)重新评估，同时为企业提供所有必要的信息，以与其供应商建立良好的关系。

你的供应链的安全是不应该被忽视的。通过CyberVadis确保您的组织遵守所有标准行业标准评估今天。

如何开展实施CyberVadis评估

我司提供专业的CyberVadis培训辅导服务，协助企业完善并建立CyberVadis安全体系，并帮助企业顺利通过CyberVadis官方评估，欢迎来电咨询（4008897855 / 021-36529816）或咨询在线客服！