תקן אבטחת מידע
ISO 27001
ניהול שרשרת אספקה
בשנים האחרונות חל גידול משמעותי במספר תקיפות הסייבר ועוצמתן על ארגונים. מקורן של חלק מתקיפות אלו, הוא בשרשרת האספקה של הגוף המותקף.
על פי תורת ההגנה, על הארגון חלה אחריות לוודא כי הוא מנהל את סיכון הסייבר אליו הוא חשוף מצד נותני השירות שלו.
לכן, על הארגון להתייחס לתהליך ניהול סיכוני סייבר להגנה על שרשרת האספקה תוך בחינת סיכוני סייבר פוטנציאליים הנובעים מהתקשרות עם ספק ספציפי וזאת בין היתר על ידי הגדרת תהליכי עבודה מאובטחים ויישום והטמעת בקרות להפחתת חשיפת הארגון לסיכוני סייבר.
הניהול מתחיל בשלב מקדים של מיפוי וסיווג נכסי המידע הארגוניים לאחר מכן מיפוי הספקים עמם הארגון יחליט להתקשר. יש להעריך את הספק באופן תקופתי ומתמשך, באמצעות מערכת קריטריונים ואופן מדידה קבוע מראש. על הארגון לבצע תדרוך מקיף בהיבטי הגנת מידע לכלל עובדי הספק הצפויים להוות חלק מההתקשרות עם הארגון.
משזיהינו את הספקים הרגישים ביותר שלנו, יהיה עלינו להעריך אילו סיכונים פוטנציאליים הם טומנים בחובם.
הערכה מבוצת על ידי סדרה של שאלונים המותאמים לאופי העיסוק ובדיקה פיזית של נקודות הקצה והשרתים של הספק,
נוכל למפות באופן מקיף את האיומים הפוטנציאליים ולהגיש לספק שורה של פתרונות שיהיה עליו ליישם על מנת להמשיך
בעבודה המשותפת.
מיתון הסיכון בשרשרת אספקה:
שלבי העבודה:
היערכות ארגונית
-
מסגרת ארגונית לניהול סיכוני שרשרת אספקה
-
ניהול מחזור חיי התקשרויות
פעילות רוחבית מול כלל הספקים
-
מיפוי ספקים
-
דירוג ספקים
-
הערכת ספקים
-
מפת ספקים
היערכות פרטנית מול ספקים
-
תדרוך הספק
-
הסכם התקשרות
-
בקרות ליישום במהלך התקשרות