|
|
之间的紧张关系寻求最广泛,最包容的能力和资源与服务的需求,根据需求排序,有动力的方法来实现。
全面、整体的“身体的知识(博克)”描述每一个供应链风险从供应商,供应和服务提供给一个组织是行不通的。相反,一个更狭隘的定义,然而高度相关,供应链的风险可以有效地评估指导操作选择,活动,和决定。这使得说规模和使用在各种不同的行业,组织,和类型的供应链领域。
说主机这个博克在其下一个自动化平台,使组织发展最相关的这些资源配置文件,可以用来执行评估标准和一致的方式,从而为类似的讨论和创造机会的评估供应链安全问题在内部和外部合作伙伴。
与说博克交互内容
说博克内容是开发的一个管理数据存储,可以积极地削减到一个适当的子集。子集可以作为评估的基础和评估驾驶决策和选择。直到现在,没有任何已知的内容管理功能符合需求活跃博克帘,裁剪,并适当地评估可以共享和同步独立部署的各种组织。
这一挑战导致发展的“风险模型管理员(RMM)”——一个原生云能力,提供了开发一个可共享的供应链的核心基础风险分类是基于行业和政府的最佳实践,开源组件,进行服务,标准和政策。RMM是专门为活跃发达允许裁剪博克的异形其下用于评估活动。时的当前实例化RMM原产于亚马逊网络服务(AWS)环境中,RMM技术平台的体系结构和组件可以形成的基础版本可用的容器在其他云或云环境。
为了支持评估,利用供应商的子集,供应和服务风险,每个风险必须包括知识贡献的风险评分方法和评分方法,可以调整权重不同的风险在每个概要文件。另外,每个必须支持定制的重量作为配置文件创建的一部分。我们设想各种配置文件创建时间和计划卷成基线说博克以便所有RMM部署可以利用他们,如果他们这么选择的话,分享社区使用。
最后,培养广泛采用和理解的函数,斜方会提供一个功能的副本说RMM在说网站公共使用功能。自评估产品和服务为特定风险很快就变得敏感,RMM提供的版本只允许查看说博克和博克的选择或创建一个概要文件。电子表格导出功能将提供一个机制来下载结果说博克的子集评价一个组织的系统,在那里他们可以保护适当地评估。
当前说博克始于三(3)高层方面的信任——供应商风险,供应风险和服务风险,如表1所示。
表1。供应链安全
| 风险类别 | 定义 |
|---|---|
| 供应商的风险 | 相关风险的供应商供应的特点(产品)或服务,包括他们的供应链,这可能影响消费者的供应产品或服务。 |
| 供应风险 | 供应的相关风险特征(产品),包括他们的供应链出处和血统,可能影响消费者的供应(产品)。 |
| 服务的风险 | 服务的相关风险特点,包括他们的供应链出处和血统,可能影响消费者的服务。 |
这些七(7),三(3),四(4)风险类别分别覆盖它们。对于供应商来说,顶级类别的风险如下表2所示。
表2。顶级供应商的风险类别
| 风险类别 | 定义 |
|---|---|
| 供应商的金融稳定风险 | 相关风险的供应商供应的特点(产品)或服务,包括他们的供应链,这可能影响消费者的供应产品或服务。 |
| 供应商组织安全风险 | 特征相关风险供应商的人员、设施、交通、和网络安全功能,政策和实践影响潜在的抵制和抵御恶意行为和对客户的影响。 |
| 供应商的易感性 | 供应商的相关风险特征影响他们目标的可能性,损害或不利影响,恶意的演员。 |
| 供应商质量文化风险 | 供应商的相关风险特征的能力可靠地提供适当的质量供应(产品)和/或服务。 |
| 供应商组织有效性的风险 | 地理相关风险、地缘政治、结构或操作特征影响其潜在的供应商在一个有效的和有弹性的方式。 |
| 供应商的道德风险 | 相关风险特征可能产生负面影响其客户的供应商,客户,合作伙伴,通过显式意图或市场,内部或外部驱动,是否违反法律/商业规范或造成伤害。 |
| 供应商的外部影响 | 相关风险供应商的特点,使其容易受到负面影响的外部动机或忠诚。在民族国家中这通常是一个问题的外国影响和在商业背景下这通常是对供应商竞争对手的影响。 |
供应和服务的顶级目录如下表3和图4所示。
表3。顶级风险类别的供应
| 风险类别 | 定义 |
|---|---|
| 供应恶意污染 | 供应的完整性相关风险(产品)介绍了通过显式意图,是否内部或外部驱动的,违反法律/商业规范造成伤害。 |
| 供应假冒 | 相关风险的真实性供应(产品)介绍了通过显式意图,是否内部或外部驱动的,违反法律/商业规范。 |
| 供应卫生风险 | 供应风险影响的能力(产品)来执行。这涉及到特征建立和维护相关的质量、安全、弹性,等等,供应(产品)。 |
表4。顶级服务的风险类别
| 风险类别 | 定义 |
|---|---|
| 服务质量风险 | 相关风险服务交付的质量。 |
| 服务能力的风险 | 相关风险的弹性服务交付。 |
| 服务安全风险 | 风险与安全服务的交付。 |
| 服务完整性的风险 | 相关风险服务交付的完整性。 |
一起阐述子类别,下一层下面的图1说明了说博克的顶部。
图1所示。说信任方面和顶级风险类别
除了这些顶级风险类别,说博克扩展到特定风险因素组成这些问题类别。分类的组织从普遍到特殊。例如,假货的担忧是常见的方法识别出供应链中的假药是否特定于类型的供应项目。检测假冒微电子将有不同的风险措施,例如,盗版软件,手袋,或寿司,然而对于那些特定的企业,专注于每一种类型的产品,需要识别和解决他们行业的假冒产品是企业生存能力的关键。下面的图2说明了富勒说博克的范围。
说的另一个维度的方法是建立一个社区的广泛理解有关信息可以找到回答各种问题围绕供应链安全风险。一些特定的供应链信息风险很容易就可以从政府或其他公共资源。例子包括公共文件、公共信息制裁,指控和安全问题上新闻出版物。万博下载包其他风险问题需要访问非公有制或专有信息,包括资源的信息直接从供应商或直接通过评估的服务或物品供应。
ICT SCRM专责小组的供应商模板是一个过程,回答问题,可以直接从供应商和用来收集回答说风险问题。有额外的风险问题,可以回答通过观察其他来源,如分析认证和认证评估一个组织,他们的劳动力,设备,和产品。举例来说,如果一个组织已经被一个可信的第三方认证安全实践符合其中一个标准的设施,它将成为解决说风险问题的话题。
最后,将会有限制的信息来源,可以用来收集一些供应链风险的见解。政府这可能包括执法资源或情报机构所收集的信息。在私营企业可能从过去的信息与供应商或服务提供商合作。说提供了使用这些类型的来源“一般研究。”
说正在探索一种机制来传达上述的例子说博克的一部分,让他们可以作为评估RMM工具本身内部的信息来源。说还在逐步扩大的名单来源与产业合作和提供认证和信息来源。类似于横切的兼容程序等措施建立常见的漏洞和风险(CVE®)和共同的弱点枚举(CWE™)说计划是建立一个过程,允许组织分享他们的采用和使用说分类的风险。这将使普通社会大众市场产品融入供应链安全的战略格局的能力和需要。
说提供一个一致的框架,用于识别需要审查的范围和性质的问题,问题已经解决。这个框架提供了必要的洞察力来构造适当的功能要求满足个性化供应链安全需求。
建造的使用个人的问题,并从上到下使用供应链风险分类,说倡议编译一个巨大的收集过去和当前的供应链安全文档和来自世界各地的工作。它还包括之前确定问题发展说的是/否的问题。这项工作包括收集、关联和映射295供应链安全相关政策,法律,法规发行历时七十多年。这些权限形状和控制并购的法律和治理框架内进行并定义事务元素许多政府需要做什么,或者杜绝做,对供应商,供应和服务。此外,说计划是安排单方保密协议(保密协议)与各种行业组织,这样他们就可以轻松地共享信息,可以使均匀并纳入说。这样的协议将帮助支持广泛的访问许多其他行商业和地区经济活动的说,更大的供应链安全上下文。
项目的例子包括在知识库包括各种文档,各个供应链安全问题,供应链风险分类,法律问题,等等。
具体的例子:
