前面曾提及 要將安全融入各流程中，尤其是人事及採購

供應商有哪些呢?

• cloud service (雲端服務)
• software (軟體)
• hardware (硬體)

服務保證合約 (SLA)

• 供應商審查的重點
  • 行程表
  • 問題可被解決
  • 合約到期問題
    • 設施

服務保證合約必須要跟服務合約分開簽，這樣才可以確保業務上的彈性運用。

風險緩解策略

• vendor attestration (供應商證明)
  • Ensure vendor contact information
    • 確保供應商聯繫資訊正確及有效
• Alternative supplies
  • 供應商是可被取代的
• Excess inventory
  • 有多餘的庫存品
• End-to-end supply chain magagement
  • 點到點的供應商管理

供應商風險分析

• 相依性分析
  • 時間 / 立即性
  • Just-in-time operations versus inventory (即時運營與庫存)
  • 可取代的部分

監控供應商風險

• 供應商安全
  • 滲透測試
  • Certification (取證)
    • ISO/ IEC 27001
      • 包含人事訓練
    • PCI-DSS
    • PA-DSS
    • 六個 Sigma
  • 國際問題
    • Laws (法律)
    • Unrest (動亂或戰爭)
    • Actions of competitiors to secure supply chain (競爭對手為確保供應鏈而採取的負面行動)
    • Long-term supply contracts (長時間的供應商合約)
  • 金融層面的部分
    • SSAE 18/20

SCRM (SCRM供應鏈風險管理)

• 風險鑑別
• 風險分析
• 風險緩解

風險評鑑

• 相依性鑑別
  • 供應鏈檢驗
  • 合約審查