了解 potential 佮目前廠商的資安情形佮風險概況。
一般的方法:
penetration testing
模仿一个網路攻擊來檢查廠商系統佮資料安全的方法。會使 tī 無仝程度的 informational awareness 下進行:
Right-to-audit clause
合約內底增加一條審查廠商資安。
Evidence of internal audits
要求提供廠商定期審查內部資安控管的證明。
Independent assessments
利用獨立外部資安公司對廠商的資安情形的審查報告。
Supply chain analysis
檢查廠商的 subcontractors 抑是供應商帶來的風險。
考慮下列: