动员大外宣: 拉供应商/合作夥伴一起提升(向下)

趋近尾声了，今天开始来讲对外的部分啦，其主角就是企业的供应链(供应商/合作商/3th Party)

在我们努力把本体提升的同时，供应链中的各种厂商/夥伴尽管不是我们同公司管辖的范围，但是由於密切合作的商业往来，仍有很大的机会成为跳板，外部威胁先攻击较为薄弱的供应商、再转向攻击主要目标(我们)。

因此，拉着供应链成员一起提升资安对企业的安全共好是有利的，供应商的资讯安全今年起声量逐步上升，包含台积电也在资安大会中提到对於供应链的资安要求。

对於供应链中的厂商，我们该怎麽着手呢?建议除了把本公司资安推进的蓝图作法分享外，也可以逐步设立【xx公司资安宣导季刊】、【供应商合作资安基准】、【法律文件签署】:

【xx公司资安宣导季刊】
把对於该产业的资安新闻、近期资安攻击、我方对於供应链资安的期许等资讯放入，做成一份宣导期刊发放给供应链的合作窗口，初期频率不用多，每季或每半年发行一次，作为一个柔性的宣导措施，让他们知道我们对於资安的重视。
【供应商合作资安基准】
这一项会比较硬一些，主要设立基准线(Base Line)，要求供应商需要符合此基础基准方可与我方做生意(ex:具有ISO27001认证厂商)，让合作夥伴们至少都在一定的资安水平上。这一项在跨国外商企业(例如:Apple设有**「供应商责任标准」及「供应商行为准则」则**)，针对供应链要求各项资安基准，并定期查核评监。
初期规划设立时，也建议设有落日条款和较长的缓冲期，让准备不及的供应商有充裕的时间应对。
【法律文件签署】
这部分相信在双方合作签订时，皆具有基础的保密协议，但是如今针对个资法、营业秘密保护法等的新法实施，我建议找法律顾问(或是公司法务单位)讨论一下，是否要要求供应商们补签或增签署新的文件，以保障双方在资安适法性上的权利义务。

TSMC
(图片引用自台积电)