NERC 供应商风险管理生命周期安全指南

第一章：采购前的风险缓解

第一章指出：“在决定邀请哪些供应商参与招标时，组织可考虑以下因素：经批准的实体清单、情报来源以及公开信息（例如漏洞处理历史、网站安全状况）。”

为遵循本指南，请将潜在供应商的企业特征详情、第四方技术、ESG评分、近期业务与声誉洞察、数据泄露记录及财务表现整合至单一表格中。将这些洞察与RFx响应集中管理，可助您全面评估供应商——既考量其功能匹配度，亦评估其是否符合贵机构的风险承受能力。

请参阅下文，了解第一章中建议的其他缓解措施。

Prevalent 使您能够通过可定制的评估机制，收集并关联供应商控制措施，根据供应商的关键性来确定系统和数据面临的威胁。

该平台将数据整合到单一风险登记册中，通过热力图报告根据风险发生的概率和影响程度进行量化与分类。借助这些洞察，团队能够清晰预见风险可能引发的后果。

在供应商合同中纳入网络安全条款和条件，或明确需衡量的具体交付成果。

采用合同生命周期管理解决方案，集中管理供应商合同的分发、讨论、存档与审查。此举将确保关键合同条款——如关键绩效指标（KPI）、关键风险指标（KRI）及服务水平协议（SLA）——被纳入供应商合同，并在合作关系存续期间得到切实执行。

提供由合格第三方评估机构出具的认证或审计报告等支持性证据。

-

要求供应商提供软件物料清单（SBOM），列明其软件和/或固件中所有由第三方开发的组件。

-

执行采购风险评估（PRA）。

-

对风险偏好评估中识别出的每项高风险采取缓解措施。

Prevalent平台将文件、支持性证据和供应商认证集中整合到单一供应商档案中，该档案关联已完成的供应商风险评估及中央风险登记册。

该平台还支持您根据风险评估结果向供应商提供建议的补救措施，确保供应商及时有效地解决风险问题。借助Prevalent平台，您可以全程追踪补救措施的执行情况，明确责任人——无论是在您组织内部还是供应商组织中。

第二章：风险评估

《安全指南》第二章指出：“一旦与供应商建立合作关系，且组织开始从该供应商获取产品或服务，则需建立持续识别、评估并缓解供应商带来的残余风险与新增风险的流程。”为实现此目标，指南建议采取下列步骤：

将问题重点聚焦于通过多因素认证保护远程访问。

-

使用仅包含相关问题的问卷。

-

为IT供应商和OT供应商分别准备独立的问卷。

-

考虑ISO 27001或SOC2等认证。

Prevalent通过自动化风险评估，在供应商生命周期的每个阶段，全面提升您供应商风险管理计划的可视性、效率及规模。

该平台包含数百个标准化评估模板库——涵盖针对IT和OT领域的问卷——具备定制化功能，并内置工作流与补救措施，可自动化处理从调查收集与分析到风险评级与报告的全部流程。

若供应商无法或不愿完成标准化评估，您可通过Prevalent平台将ISO认证或SOC 2报告映射至中央风险登记簿视图，将该供应商的风险与其他供应商评估中收集的风险一并管理。

借助Prevalent，您可通过持续洞察网络威胁来验证评估结果。将所有情报整合到"单一控制面板"中，能优化您的风险分析工作。

第三章：风险缓解

在产品/服务使用期间
指南第三章建议组织要求供应商对评估中识别的风险采取缓解措施。风险缓解的目标应是将风险价值降低至可接受水平，从而减少风险发生的概率和/或影响程度。

该指南指出，这可通过征求建议书或合同执行来实现，但要求的补救措施也是重要的合同后执行手段。以下摘录指南中的部分缓解措施。

在招标文件中明确列出安全风险，并规定供应商必须采取的风险缓解措施。

Prevalent通过集中化与自动化处理，统筹管理供应商遴选决策中的提案请求（RFP）与信息请求（RFI）的分发、比对及管理流程。这确保您能够依据关键网络安全措施筛选供应商。

合同条款应包含供应商承诺实施特定安全控制措施的书面说明，允许组织方审查供应商的实施进度，并明确未来就相关事项进行沟通的具体方式。

借助Prevalent平台，您可集中管理供应商合同的分发、讨论、存档与审核流程。通过这种方式管理供应合同，将确保合同中嵌入恰当的安全条款与执行机制。

制定具体的补救措施。

根据风险评估结果向供应商提供建议的整改措施，确保供应商及时有效地解决风险问题。通过明确责任人（包括贵公司内部及供应商组织内部人员）全程追踪整改措施直至完成。

第四章：验证风险缓解措施

指南第四章要求验证供应商是否遵守政策及缓解措施。可能采取的行动包括下列各项：

向供应商记录并传达绩效差距、预期服务标准以及适用的合同条款或书面承诺。

Prevalent 支持您定制调查问卷，便于在单一风险登记册中轻松收集并分析必要的绩效与合同数据。您还能识别与服务水平协议（SLA）或绩效相关的关键合同属性，将这些要求集中录入平台，并为您与供应商分配任务以便进行跟踪管理。

向供应商传达：绩效考核指标将体现在未来对新采购产品或服务的评分或评估中。

Prevalent平台通过自动从供应商合同中提取关键绩效指标（KPI）和关键风险指标（KRI），集中衡量供应商是否符合您的要求。

该平台还会提出补救建议，以确保供应商及时且妥善地处理风险。

评估终止与供应商的合作关系。

当关键服务需要终止或退出时，Prevelant为您提供可定制的调查问卷和工作流程，用于报告系统访问权限、数据销毁、访问管理、相关法律合规性、最终付款等事项。

第五章：采购、终止与过渡

指南第五章概述了终止供应商关系所需的程序，包括下列各行所列程序。

识别并缓解与终止或过渡相关的风险（例如持有敏感信息）。

-

对供应商持有的有关组织系统和网络的敏感信息进行盘点，并要求供应商证明所有信息均已删除。

Prevalent 使您能够：

• 自动执行合同评估和离职程序，降低企业的合同后风险。
• 安排审查合同的任务，确保履行所有义务。发布可定制的合同评估，以评估状态。
• 利用可定制的调查和工作流程，报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。
• 集中存储和管理文件与认证，如 NDA、SLA、SOW 和合同。利用基于 AWS 自然语言处理和机器学习分析的内置自动文档分析功能，确认关键标准已得到满足。
• 通过内置的补救建议和指导，采取可行措施降低供应商风险。
• 通过将评估结果自动映射到任何法规或框架，可视化并满足合规要求。