三、檢查安排

　　企業需要對其建立對供應鏈的控制的方法充滿信心。

　　10. 將保證活動納入供應鏈管理

　　要求那些對供應鏈安全至關重要的供應商通過合同提供安全績效的向上報告，并遵守任何風險管理政策和流程。

　　將“審計權”納入所有合同并加以行使。要求供應商對他們簽訂的與合同和組織相關的任何合同執行同樣的操作。（請注意，這可能并不總是可行或可取的，尤其是在與云服務相關的情況下）。

　　在合理的情況下，將 Cyber Essentials Plus、滲透測試、外部審計或正式安全認證等保證要求納入安全要求。

　　建立關鍵績效指標來衡量供應鏈安全管理實踐的績效。

　　審查任何發現和吸取的教訓并采取行動。

　　鼓勵供應商推廣 良好的安全行為。

　　四、連續的提高

　　隨著供應鏈的發展，需要繼續改進和維護安全性。

　　11. 鼓勵持續改進供應鏈內的安全性

　　鼓勵供應商繼續改進他們的安全安排，強調這可能使他們能夠與競爭并贏得未來的合同。這也將幫助發展供應鏈和選擇潛在供應商。

　　在供應商尋求進行這些改進時為他們提供建議和支持。

　　避免為此類改進設置不必要的障礙：承認并準備承認他們可能擁有的任何現有安全實踐或認證，以證明它們如何滿足最低安全要求。

　　為供應商留出時間實現安全改進，但要求他們向組織提供時間表和計劃，以證明他們打算如何實現這些目標。

　　傾聽通過績效監控、事件或供應商向上報告突出顯示的任何問題并采取行動，這些問題可能表明當前方法未按計劃有效運作。

　　12. 與供應商建立信任

　　尋求與主要供應商建立戰略伙伴關系，與他們分享問題，鼓勵和重視他們的投入。獲得他們對供應鏈安全方法的認可，以便它考慮到他們和組織的需求。

　　讓他們為管理分包商，但要求他們向組織提供適當的報告以確認這些關系的狀態。

　　與供應商保持持續有效的溝通。

　　將供應鏈管理視為一個共同的問題。