下面提供了一系列用于衡量供應(yīng)鏈安全性的場景。這個想法是給我們一些具體的參考例子，說明供應(yīng)鏈安全的好壞，幫助我們了解自己的供應(yīng)鏈安全情況。

　　好的壞的

　　了解供應(yīng)商可能給組織、更廣泛的供應(yīng)鏈以及提供的產(chǎn)品和服務(wù)帶來的風險了解供應(yīng)商持有的信息的敏感性以及他們支持的項目的價值。對供應(yīng)商可能對更廣泛的供應(yīng)鏈及其提供的產(chǎn)品和服務(wù)構(gòu)成的風險缺乏了解。不知道他們持有什么數(shù)據(jù)，也不知道他們支持的項目的價值。

　　全面了解供應(yīng)鏈，包括分包商。只了解直接供應(yīng)商，但對任何分包商的了解有限/不了解。

　　了解供應(yīng)商的安全安排并定期與他們接觸以確認他們繼續(xù)有效地管理合同風險。對供應(yīng)鏈的安全狀態(tài)一無所知，但認為它們可能沒問題。無法查看此狀態(tài)。

　　控制您的供應(yīng)鏈，行使審計權(quán)和/或要求供應(yīng)商向上報告，以提供一切運行良好的安全保證。審核請求不會是與供應(yīng)商的第一次互動。鍛煉對供應(yīng)鏈控制力弱，視力判上判輸，不能行使審計權(quán)，不尋求向上報告。通常，安全團隊與供應(yīng)商的第一次接觸是在事件發(fā)生后進行審計。

　　根據(jù)對風險的評估和認為必要的保護措施，為供應(yīng)商設(shè)置最低安全要求，告訴他們合同中的預(yù)期內(nèi)容。未能設(shè)置最低安全要求，讓供應(yīng)商自己做事，即使他們可能沒有安全意識來了解需要什么，或知道如何有效地做到這一點?；蛘咴O(shè)置最低安全要求，但未能將這些要求與對風險的評估相匹配 - 可能使許多供應(yīng)商無法實現(xiàn)安全。

　　區(qū)分將評估的風險與特定合同相匹配所需的保護級別。確保這些保護是合理的、相稱的和可實現(xiàn)的。為所有供應(yīng)商設(shè)置不成比例的“一刀切”方法，無論合同和評估風險如何。未能確保這些控制是合理且可實現(xiàn)的，可能導(dǎo)致供應(yīng)商不與競爭合同。

　　要求在每種情況下都認為必要的保護措施在整個供應(yīng)鏈中傳遞下去。檢查以確保它正在發(fā)生。將安全性留給直接供應(yīng)商來管理，但未能強制執(zhí)行和/或檢查它的發(fā)生。

　　履行作為供應(yīng)商的責任（并在缺乏指導(dǎo)的地方挑戰(zhàn)客戶）。向下傳遞客戶的要求并提供向上報告。忽視作為供應(yīng)商的責任，或忽視任何缺乏客戶指導(dǎo)的情況。未能向下傳遞需求，和/或未能提供向上報告。

　　為響應(yīng)事件的供應(yīng)商提供一些指導(dǎo)和支持。交流經(jīng)驗教訓(xùn)，以便供應(yīng)鏈中的其他人避免“已知問題”。不向供應(yīng)商提供事件支持。未能采取行動或發(fā)現(xiàn)“已知問題”可能影響供應(yīng)鏈中其他人的地方，也未就這些問題向其他人發(fā)出警告 - 可能導(dǎo)致更大的中斷：已知問題影響到許多供應(yīng)商。

　　促進提高供應(yīng)商的網(wǎng)絡(luò)意識。積極分享最佳實踐以提高標準。鼓勵供應(yīng)商訂閱免費的威脅情報服務(wù)，以便他們更好地了解潛在威脅。無論供應(yīng)商的安全意識和能力如何，都希望供應(yīng)商能夠預(yù)見到網(wǎng)絡(luò)攻擊的發(fā)展，提供很少或根本不提供支持或建議。

　　將保證措施納入最低安全要求（例如Cyber Essentials  Plus、審計和滲透測試）。這些提供了有關(guān)供應(yīng)商安全有效性的獨立視圖。未能將保證措施納入您的安全要求，相信供應(yīng)商會做正確的事情 - 無論他們是否有足夠的知識或經(jīng)驗來了解對他們的期望。

　　監(jiān)控已實施的安全措施的有效性。根據(jù)從事件中吸取的經(jīng)驗教訓(xùn)、保證活動的反饋或供應(yīng)商對問題的反饋，準備修改或刪除證明無效的控制措施。未能監(jiān)控安全措施的有效性。未能聽取反饋。不愿意做出改變，即使支持這樣做的證據(jù)是壓倒性的。