下面提供了一系列用于衡量供應鏈安全性的場景。這個想法是給我們一些具體的參考例子，說明供應鏈安全的好壞，幫助我們了解自己的供應鏈安全情況。

　　好的壞的

　　了解供應商可能給組織、更廣泛的供應鏈以及提供的產品和服務帶來的風險了解供應商持有的信息的敏感性以及他們支持的項目的價值。對供應商可能對更廣泛的供應鏈及其提供的產品和服務構成的風險缺乏了解。不知道他們持有什么數據，也不知道他們支持的項目的價值。

　　全面了解供應鏈，包括分包商。只了解直接供應商，但對任何分包商的了解有限/不了解。

　　了解供應商的安全安排并定期與他們接觸以確認他們繼續有效地管理合同風險。對供應鏈的安全狀態一無所知，但認為它們可能沒問題。無法查看此狀態。

　　控制您的供應鏈，行使審計權和/或要求供應商向上報告，以提供一切運行良好的安全保證。審核請求不會是與供應商的第一次互動。鍛煉對供應鏈控制力弱，視力判上判輸，不能行使審計權，不尋求向上報告。通常，安全團隊與供應商的第一次接觸是在事件發生后進行審計。

　　根據對風險的評估和認為必要的保護措施，為供應商設置最低安全要求，告訴他們合同中的預期內容。未能設置最低安全要求，讓供應商自己做事，即使他們可能沒有安全意識來了解需要什么，或知道如何有效地做到這一點。或者設置最低安全要求，但未能將這些要求與對風險的評估相匹配 - 可能使許多供應商無法實現安全。

　　區分將評估的風險與特定合同相匹配所需的保護級別。確保這些保護是合理的、相稱的和可實現的。為所有供應商設置不成比例的“一刀切”方法，無論合同和評估風險如何。未能確保這些控制是合理且可實現的，可能導致供應商不與競爭合同。

　　要求在每種情況下都認為必要的保護措施在整個供應鏈中傳遞下去。檢查以確保它正在發生。將安全性留給直接供應商來管理，但未能強制執行和/或檢查它的發生。

　　履行作為供應商的責任（并在缺乏指導的地方挑戰客戶）。向下傳遞客戶的要求并提供向上報告。忽視作為供應商的責任，或忽視任何缺乏客戶指導的情況。未能向下傳遞需求，和/或未能提供向上報告。

　　為響應事件的供應商提供一些指導和支持。交流經驗教訓，以便供應鏈中的其他人避免“已知問題”。不向供應商提供事件支持。未能采取行動或發現“已知問題”可能影響供應鏈中其他人的地方，也未就這些問題向其他人發出警告 - 可能導致更大的中斷：已知問題影響到許多供應商。

　　促進提高供應商的網絡意識。積極分享最佳實踐以提高標準。鼓勵供應商訂閱免費的威脅情報服務，以便他們更好地了解潛在威脅。無論供應商的安全意識和能力如何，都希望供應商能夠預見到網絡攻擊的發展，提供很少或根本不提供支持或建議。

　　將保證措施納入最低安全要求（例如Cyber Essentials  Plus、審計和滲透測試）。這些提供了有關供應商安全有效性的獨立視圖。未能將保證措施納入您的安全要求，相信供應商會做正確的事情 - 無論他們是否有足夠的知識或經驗來了解對他們的期望。

　　監控已實施的安全措施的有效性。根據從事件中吸取的經驗教訓、保證活動的反饋或供應商對問題的反饋，準備修改或刪除證明無效的控制措施。未能監控安全措施的有效性。未能聽取反饋。不愿意做出改變，即使支持這樣做的證據是壓倒性的。