GV.SC 供應鏈風險管理
GV.SC 供應鏈風險管理子類別
GV.SC-01
建立供應鏈管理計畫
目的
建立資安供應鏈風險管理計畫
該計畫須獲得組織利害關係人共識
核心
供應鏈風險管理方法需有組織策略
強調與利害關係人分享
措施
制定明確策略闡明目標與方向
根據策略設定具體目標與成果
制定政策與流程後實施與改進
整理內容並與利害關係人分享
建立跨組織機制確保部門一致
舉例
制定一份資安供應鏈風險管理策略
成立部門代表監督供應鏈管理計畫
GV.SC-02
定義供應鏈角色
目的
確保供應鏈所有實體清楚角色職責
清楚之後才能促進責任劃分和協作
核心
措施
識別和文件化角色與職位
負責規劃者
資源配置者
負責執行者
明定供應鏈風險角色與職責
用職責矩陣工具劃分團體個人
決策的過程
資訊的共享
相關職責與績效納入職位
確保問責性
確保明確性
供應商、客戶和業務合作夥伴
定角色職責
定三方合約
建供應鏈資訊共享與報告機制
舉例
文件包含供應商在事件回應的責任
為供應商舉辦課程以了解組織政策
GV.SC-03
整合供應鏈管理計畫
目的
整合供應鏈到現有風險管理架構
提高效率和一致性避免重複工作
核心
視為整體企業風險管理的一個組成
並非獨立的行為與概念
措施
識別共同點和重疊之處
供應鏈風險管理
資安風險管理
企業風險管理
明確定義角色和職責促進合作
建立整合的控制措施
事件回應後審查
政策更新
整合到持續改進流程
上報重大風險
舉例
納入企業風險管理計畫
使用一致的風險評估方法
GV.SC-04
識別與排序供應廠商
目的
了解並識別對組織營運重要的廠商
集中資源管理關鍵供應商帶來風險
核心
並非所有供應商都有相同風險級別
需要根據重要性對供應商進行排序
措施
制定供應商重要性標準
維護所有供應商的記錄
根據標準排序
舉例
建立一份關鍵供應商清單
定期審查和更新
對關鍵供應商進行深入的安全評估
GV.SC-05
與供應鏈廠商簽約
目的
供應商與第三方須了解同意要求
在合約中明確雙方的責任和義務
雙方簽約可便於執行和追責
核心
將資安納入合約與協議
確保供應商和其他第三方承擔責任
措施
針對供應商、產品、服務建立要求
在合約納入資安與供應鏈的要求
在協議定義針對資安的權利和責任
舉例
在與供應商的合約中加入條款
實施多因素身份驗證
要求供應商在發生資料外洩時通知組織
以下供應鏈風險管理 (GV.SC) 的敘述,哪個是錯誤的?
A) GV.SC-03 倡導將供應鏈風險管理視為獨立於其他風險管理的系統
B) GV.SC-02 旨在確保供應鏈中的所有實體都清楚自己的角色和職責
C) GV.SC-05 強調在與供應商的合約中納入明確的資安要求和責任
D) GV.SC-04 認為並非所有供應商都具相同風險級別,需根重要性排序
答案
A
在建立供應鏈管理計畫 (GV.SC-02) 時,為什麼需要確保供應鏈所有實體都清楚自己的角色和職責?
A) 才能集中資源管理關鍵供應商帶來的風險
B) 才能促進責任劃分和團隊協作
C) 才能將資安要求納入合約與協議
D) 才能提高效率和一致性,避免重複工作
答案
B
以下哪一項是將供應鏈管理計畫整合到現有風險管理架構 (GV.SC-03) 的 核心 概念?
A) 明確定義角色和職責
B) 使用一致的風險評估方法
C) 視為整體企業風險管理的一部分
D) 定期審查和更新供應商清單
答案
C
為什麼需要識別和排序供應商 (GV.SC-04)?
A) 因為所有供應商都具有相同的風險級別
B) 為了將資安風險管理整合到企業風險管理中
C) 為了在合約中明確雙方針對資安的權利和義務
D) 為了集中資源管理關鍵供應商帶來的風險
答案
D
在與供應鏈廠商簽約時 (GV.SC-05),以下哪一項做法最能確保供應商承擔其資安責任?
A) 定期審查和更新供應商清單
B) 為供應商舉辦資安意識培訓課程
C) 在合約中明確納入資安相關條款和要求
D) 建立供應鏈資訊共享和事件通報機制
答案
C
iThome鐵人賽
看影片追技術