旅遊伴手禮挑選：供應鏈資訊安全的風險管理

出國旅遊時，我們經常精心挑選伴手禮，確保品質優良且安全帶回國內。同樣地，CNS 27002:2023 控制措施 5.21「管理 ICT 供應鏈中的資訊安全」 提醒企業必須嚴格控管供應鏈資訊安全風險 。

資訊安全主管應確認供應鏈中每個環節的風險，包括供應商使用的技術、交付流程與資安規範，並建立監控機制以應對潛在威脅。這就像挑選伴手禮時，會檢查來源、包裝和保存條件，確保「合乎標準，安全無虞」。

中小企業應與供應商簽署資訊安全協議，要求符合資安標準，並定期稽核其資安措施，有效防堵供應鏈中可能產生的弱點，保護企業的資訊資產。

參考文獻

經濟部標準檢驗局. (2023). CNS 27002:2023 資訊安全、網宇安全及隱私保護－資訊安全控制措施.