A. 仅要求供应商提供ISO 27001认证证书，即认为其安全能力达标。

✅ B. 重点审查供应商的数据加密、访问控制、应急响应等安全控制措施，并签订明确安全责任的合同。

C. 为简化流程，直接采用供应商提供的标准服务条款，不进行额外安全审查。

D. 要求供应商开放所有内部网络架构，允许企业随时进行无限制的渗透测试。

答案解析

供应链安全风险管理要求对供应商进行系统化的安全评估，不能仅依赖其外部认证（A选项过于片面）。最佳实践应包括审查供应商具体的安全控制措施（如加密、访问控制、应急响应），并通过合同明确双方的安全责任与义务。C选项完全放弃审查，风险极高。D选项要求过度、不切实际，且可能侵犯供应商合法权益。B选项兼顾了审查关键环节与法律约束，最为合理。

相关法规：《网络安全法》第二十一条、第三十六条