博客
第三方风险评估最佳实践
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

评估 网络安全风险 posed by 第三方供应商和服务提供商 是费时的,操作复杂的并且经常充满错误。

您需要跟踪发出的请求,追逐那些避风港的供应商'回答,并确保他们这样做时及时准确地回答。随着 供应商风险评估问卷,组织需要一个标准化的信息收集流程,以准确评估外部 安全态势 违反行业标准,安全策略和既定安全惯例的供应商。 

任何强大的第三方风险管理程序都必须具有已建立的流程和准则,包括启动供应商,收集数据,查看答案和请求补救的流程。

好消息是,有可以简化流程的软件。 UpGuard供应商风险 可以帮助您监控供应商' 外部安全态势 实时自动化安全评估,并确定风险的优先级和补救措施。 

如果没有清晰的评估流程,CISO和供应商风险管理团队将不停地收到不断发送的电子邮件和多个电子表格,这些电子邮件用于收集,分析和补救整个供应链中的问题。 

如您所知,当团队因运营复杂性而变得超支时,尽职调查将落在一边,高风险的供应商将被忽略,并且您的安全计划的有效性也会降低。 

为了帮助您开发供应商风险评估流程,我们'汇总了进行第三方风险评估问卷和供应商管理的五种最佳实践。 

了解您的第三方供应商产品组合

在开始发送供应商评估之前,您需要对所有第三方关系都有准确的清单。没有一个,它'几乎无法准确衡量您的供应商引入的网络风险水平。 

It'重要的是要了解涉及供应商的安全事件可能会导致 重大数据泄露,即使他们没有't handle 敏感数据。正如我们在Target上看到的,即使是非技术供应商,例如 暖通空调提供商可能导致超过1.1亿消费者接触' credit card and 个人资料

请记住,供应商不要'不一定要有相同的 信息安全措施 in place as you do. 您 just need to be comfortable that they have adequate 数据安全 和数据保护控件到位。

一个好的起点是投资自动化的安全监控工具,例如 UpGuard供应商风险,可以跟踪并持续监视您的第三方和第四方供应商'关键的安全控制。这些工具不仅可以帮助您与供应商进行沟通,还可以帮助您扩展您的供应商。 供应商风险管理程序 通过自动始终保持最新状态,帮助您确定哪些供应商构成最大风险 安全等级.

查找适合您的供应商问卷模板

拥有供应商清单后,您需要确定供应商风险管理调查表的类型'll使用。这可能是其中之一 顶级供应商评估问卷 or a custom one.

如果您需要遵守GDPR,LGPD,CCPA等法规或特定行业趋势(例如ISO 27001和NIST SP 800-171),则标准化的问卷非常有用。但是,某些组织需要更深入的TPRM见解并开发自定义调查表。

自定义调查表的问题在于,由于供应商经常想利用过去的调查表来回答调查表,因此很难完成它们。 

无论使用哪种调查表,您都应该知道供应商必须填写很多调查表。考虑投资购买一种可以使供应商轻松管理其响应的工具。  

如果你'不知道从哪里开始,很受欢迎 供应商风险评估模板 include:

  • CIS关键安全控制(CIS前5名/ CIS前20名): CIS有效控制网络的控制措施  是一组优先动作,形成一个 纵深防御 一套特定且可行的最佳做法,以减轻最常见的情况 网络攻击。 CIS控件映射到许多主要的合规框架,例如 NIST网络安全框架NIST 800-53,ISO 27000系列以及诸如PCI-DSS,HIPAA,NERC CIP和 FISMA.
  • 共识评估倡议调查表(CAIQ): 共识评估倡议问卷(CAIQ) 是由云安全联盟(CSA)提供的安全评估,云安全联盟是致力于定义和提高对安全云计算最佳实践的认识的领先组织。 CAIQ帮助云计算消费者和审计师评估 信息安全 数据中心和云提供商的功能。 
  • 高等教育社区供应商评估工具(HECVAT / HECVAT Lite): 高等教育社区供应商评估工具(HECVAT)是一种安全评估模板,用于概括高等教育信息安全和数据保护问题以及与云服务有关的问题,以确保一致性和易用性。 
  • ISO 27001问卷: ISO / IEC 27001是最著名和使用最广泛的信息安全标准之一,并且是ISO / IEC 27000系列标准的一部分。它由国际标准化组织(ISO)和国际电工委员会(IEC)发布。 
  • NIST SP 800–171:NIST特殊出版物800-171,保护非联邦系统和组织中的受控未分类信息(NIST SP 800-171) 向联邦机构提供了一套旨在确保保留受控非机密信息(CUI)的准则 机密,可用且未更改 在非联邦系统和组织中。通过遵守NIST SP 800-171,您还将满足以下大多数标准 NIST SP 800-53,并且符合NIST SP 800-53是 FISMA and 联邦RAMP compliance.
  • 标准化信息收集问卷(SIG / SIG-Lite): 标准化信息收集(SIG)问卷用于对供应商进行初始评估,收集信息以确定如何在18个不同的风险域中管理安全风险.SIG是由Shared Assessments开发的,是用于风险管理评估的整体工具 网络安全,IT,隐私, 数据安全,以及业务连续性。 
  • VSA调查表(VSA): 供应商安全联盟(VSA)调查表由致力于改善Internet安全的公司联盟创建。与其他调查表不同,VSA评估过程是在考虑供应商的情况下创建的。它的重点是消除不相关的问题,减少InfoSec和安全团队完成调查表所花费的时间。 
  • 支付卡行业数据安全标准(PCI DSS)问卷: 支付卡行业数据安全标准(PCI-DSS)是 信息安全 and 数据安全 是处理来自主要卡计划的品牌信用卡的组织的标准。 

阅读有关顶级供应商评估问卷的完整指南,以获取更多信息.

跟踪您发送的内容

过去,调查表很容易在收件箱之间来回凌空丢失,或者只是错位已完成的Excel文件。那's why it'开发集中式系统非常重要,您可以在其中连续监视和查看供应商在问卷调查中取得的进展。

优秀的供应商风险管理软件将为供应商提供一种简单的方法,可以就任何问题与您的团队联系,并提供其他证据或对其安全控制的证明。 

此外,我们建议设置一个明确的截止日期并进行自动跟踪,以便您和供应商确切知道期望什么以及何时期望。 

使用技术简化流程

风险评估问卷't 新 . 您'可能已经通过电子邮件发送问卷并管理多个excel电子表格以检查答案。但是,诸如UpGuard供应商风险之类的技术可以通过允许计算机为您跟踪事物来帮助您扩展流程。

一个好的工具将为您和您的第三方供应商提供:

  • 在集中式环境中提供答案,证据和提出任何问题的方法
  • 一种将答案委托给组织中的新人的方法,以便正确的人可以回答每个问题
  • 一种补救和讨论问题,查看证据并要求提供其他信息或特定问题的证据的方法,例如您有哪些访问控制策略?

该工具的可用性越好,您就可以将更多的时间花费在与供应商之间的补救风险上,而不是将精力集中在数据收集的本质上。 

信任但要验证

只是因为你'我已经收到一份完整的安全调查问卷,'这并不意味着您的工作已经完成。下一步是验证和确认他们所说的是正确的。当你赢了'为了能够对内部安全控制执行此操作,您需要验证一堆外部可见的数据点。  

UpGuard'的自动扫描和 安全等级 check for:

UpGuard如何帮助第三方进行风险管理

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard'的安全等级以保护其数据, 防止数据泄露 并评估他们的安全状况。

供您的供应商评估'信息安全控制, UpGuard Vendor Risk 可以最大程度地减少您的组织用于评估相关和第三方的时间 信息安全 通过自动化控制 供应商问卷 and providing 供应商问卷模板.

我们还可以帮助您立即针对您当前和潜在的供应商与他们的行业进行基准比较,以便您了解它们的堆叠方式。

进行自我评估 UpGuard BreachSight 通过提供简单,易于理解的功能,可以监视组织中的70多种安全控制措施 网络安全等级 并自动检测S3存储桶,Rsync服务器,GitHub存储库等中泄漏的凭据和数据暴露。

UpGuard与其他安全评级供应商之间的主要区别在于,有非常公开的证据表明我们在预防 数据泄露 and 数据泄漏

我们的专业知识在以下方面得到了体现: 纽约时报华尔街日报彭博社华盛顿邮报福布斯路透社和 TechCrunch。

您 can read more about what our customers are saying on Gartner评论.

如果你'd想看你的组织's security rating, 单击此处请求免费的网络安全评级.

立即获得UpGuard平台的7天免费试用。

免费电子书

买家'第三方风险管理指南

您是否正在寻找一种解决方案来帮助您的企业管理第三方供应商风险?了解了解网络风险,管理供应商并避免数据泄露所需的功能。
白色UpGuard徽标
买家'第三方风险管理指南
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状