iT邦幫忙

2022 iThome 鐵人賽

DAY 11
0
Security

備考 CISSP 敗部復活 雜草談 系列 第 11

採購(供應鏈)安全

  • 分享至 

  • xImage
  •  

前面曾提及 要將安全融入各流程中,尤其是人事及採購

供應商有哪些呢?

  • cloud service (雲端服務)
  • software (軟體)
  • hardware (硬體)

服務保證合約 (SLA)

  • 供應商審查的重點
    • 行程表
    • 問題可被解決
    • 合約到期問題
      • 設施

服務保證合約必須要跟服務合約分開簽,這樣才可以確保業務上的彈性運用。

風險緩解策略

  • vendor attestration (供應商證明)
    • Ensure vendor contact information
      • 確保供應商聯繫資訊正確及有效
  • Alternative supplies
    • 供應商是可被取代的
  • Excess inventory
    • 有多餘的庫存品
  • End-to-end supply chain magagement
    • 點到點的供應商管理

供應商風險分析

  • 相依性分析
    • 時間 / 立即性
    • Just-in-time operations versus inventory (即時運營與庫存)
    • 可取代的部分

監控供應商風險

  • 供應商安全
    • 滲透測試
    • Certification (取證)
      • ISO/ IEC 27001
        • 包含人事訓練
      • PCI-DSS
      • PA-DSS
      • 六個 Sigma
    • 國際問題
      • Laws (法律)
      • Unrest (動亂或戰爭)
      • Actions of competitiors to secure supply chain (競爭對手為確保供應鏈而採取的負面行動)
      • Long-term supply contracts (長時間的供應商合約)
    • 金融層面的部分
      • SSAE 18/20

SCRM (SCRM供應鏈風險管理)

  • 風險鑑別
  • 風險分析
  • 風險緩解

風險評鑑

  • 相依性鑑別
    • 供應鏈檢驗
    • 合約審查

上一篇
相似卻不同意思 及創造自己的記憶宮殿
下一篇
VOIP 是個坑貨 ...
系列文
備考 CISSP 敗部復活 雜草談 35
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言