趨近尾聲了，今天開始來講對外的部分啦，其主角就是企業的供應鏈(供應商/合作商/3th Party)

在我們努力把本體提升的同時，供應鏈中的各種廠商/夥伴儘管不是我們同公司管轄的範圍，但是由於密切合作的商業往來，仍有很大的機會成為跳板，外部威脅先攻擊較為薄弱的供應商、再轉向攻擊主要目標(我們)。

因此，拉著供應鏈成員一起提升資安對企業的安全共好是有利的，供應商的資訊安全今年起聲量逐步上升，包含台積電也在資安大會中提到對於供應鏈的資安要求。

對於供應鏈中的廠商，我們該怎麼著手呢?建議除了把本公司資安推進的藍圖作法分享外，也可以逐步設立【xx公司資安宣導季刊】、【供應商合作資安基準】、【法律文件簽署】:

• 【xx公司資安宣導季刊】
  把對於該產業的資安新聞、近期資安攻擊、我方對於供應鏈資安的期許等資訊放入，做成一份宣導期刊發放給供應鏈的合作窗口，初期頻率不用多，每季或每半年發行一次，作為一個柔性的宣導措施，讓他們知道我們對於資安的重視。

• 【供應商合作資安基準】
  這一項會比較硬一些，主要設立基準線(Base Line)，要求供應商需要符合此基礎基準方可與我方做生意(ex:具有ISO27001認證廠商)，讓合作夥伴們至少都在一定的資安水平上。這一項在跨國外商企業(例如:Apple設有**「供應商責任標準」及「供應商行為準則」則**)，針對供應鏈要求各項資安基準，並定期查核評鑑。
  初期規劃設立時，也建議設有落日條款和較長的緩衝期，讓準備不及的供應商有充裕的時間應對。

• 【法律文件簽署】
  這部分相信在雙方合作簽訂時，皆具有基礎的保密協議，但是如今針對個資法、營業秘密保護法等的新法實施，我建議找法律顧問(或是公司法務單位)討論一下，是否要要求供應商們補簽或增簽署新的文件，以保障雙方在資安適法性上的權利義務。

(圖片引用自台積電)

延伸閱讀與參考資料
供應鏈安全層面大剖析，奧義揭露臺灣多起APT攻擊事件都是對方從供應鏈下手
攻擊型態趨於多元，供應鏈防護需涵蓋VPN網路與外部服務
強化資訊保護　台積電成立供應商資訊安全協會