三、檢查安排

　　企業(yè)需要對其建立對供應(yīng)鏈的控制的方法充滿信心。

　　10. 將保證活動納入供應(yīng)鏈管理

　　要求那些對供應(yīng)鏈安全至關(guān)重要的供應(yīng)商通過合同提供安全績效的向上報(bào)告，并遵守任何風(fēng)險(xiǎn)管理政策和流程。

　　將“審計(jì)權(quán)”納入所有合同并加以行使。要求供應(yīng)商對他們簽訂的與合同和組織相關(guān)的任何合同執(zhí)行同樣的操作。（請注意，這可能并不總是可行或可取的，尤其是在與云服務(wù)相關(guān)的情況下）。

　　在合理的情況下，將 Cyber Essentials Plus、滲透測試、外部審計(jì)或正式安全認(rèn)證等保證要求納入安全要求。

　　建立關(guān)鍵績效指標(biāo)來衡量供應(yīng)鏈安全管理實(shí)踐的績效。

　　審查任何發(fā)現(xiàn)和吸取的教訓(xùn)并采取行動。

　　鼓勵供應(yīng)商推廣 良好的安全行為。

　　四、連續(xù)的提高

　　隨著供應(yīng)鏈的發(fā)展，需要繼續(xù)改進(jìn)和維護(hù)安全性。

　　11. 鼓勵持續(xù)改進(jìn)供應(yīng)鏈內(nèi)的安全性

　　鼓勵供應(yīng)商繼續(xù)改進(jìn)他們的安全安排，強(qiáng)調(diào)這可能使他們能夠與競爭并贏得未來的合同。這也將幫助發(fā)展供應(yīng)鏈和選擇潛在供應(yīng)商。

　　在供應(yīng)商尋求進(jìn)行這些改進(jìn)時(shí)為他們提供建議和支持。

　　避免為此類改進(jìn)設(shè)置不必要的障礙：承認(rèn)并準(zhǔn)備承認(rèn)他們可能擁有的任何現(xiàn)有安全實(shí)踐或認(rèn)證，以證明它們?nèi)绾螡M足最低安全要求。

　　為供應(yīng)商留出時(shí)間實(shí)現(xiàn)安全改進(jìn)，但要求他們向組織提供時(shí)間表和計(jì)劃，以證明他們打算如何實(shí)現(xiàn)這些目標(biāo)。

　　傾聽通過績效監(jiān)控、事件或供應(yīng)商向上報(bào)告突出顯示的任何問題并采取行動，這些問題可能表明當(dāng)前方法未按計(jì)劃有效運(yùn)作。

　　12. 與供應(yīng)商建立信任

　　尋求與主要供應(yīng)商建立戰(zhàn)略伙伴關(guān)系，與他們分享問題，鼓勵和重視他們的投入。獲得他們對供應(yīng)鏈安全方法的認(rèn)可，以便它考慮到他們和組織的需求。

　　讓他們?yōu)楣芾矸职?，但要求他們向組織提供適當(dāng)?shù)膱?bào)告以確認(rèn)這些關(guān)系的狀態(tài)。

　　與供應(yīng)商保持持續(xù)有效的溝通。

　　將供應(yīng)鏈管理視為一個共同的問題。