博客
规划您的供应商安全评估问卷[2020版]

规划您的供应商安全评估问卷[2020版]

摘要形状摘要形状

业务伙伴关系需要信任,但知道是否是您的 供应商的优点是信任很困难。随着信息技术的兴起,有意或无意地将信任或无意中破坏的方式,乘以和变得更加复杂。

供应商安全评估问卷是一种方法,可验证服务提供商遵循适当的信息安全实践,以便您的业务能够权衡委托其数据的风险。

本文概述了一些有用的提示,以创建彻底的供应商评估问卷作为安全计划的一部分。安全问卷令人讨厌令人讨厌。良好的规划对于确保您提出正确的问题,以及以这种方式为您提供最佳洞察力的方式至关重要 供应商风险管理 program.

1.了解您的业务

您的业​​务生成的数据类型以及它消耗的服务类型是最小化接触的关键注意事项 第三方风险。 Upguard已发现第三方供应商 违反可识别客户信息的违规行为,特别是信用卡详细信息和SSN可以由恶意演员用于身份盗窃和欺诈; 违反含有病程的违规行为 值得超过信用卡 暗网包含专有业务数据的违规 像财务,蓝图,代码和战略/消息文件,在暴露时为竞争对手提供竞争对手;和使用细节和其他 发感数据 可以通过提供更专注的信息来帮助攻击者定位人们 网络钓鱼 attempts.

例如,如果您的业务使用Cloud SaaS(软件 - AS-Service)产品,但了解 数据安全 将是您最重要的问题。如果您的IT解决方案主要用于房屋,那里存储在托管数据中心内,您可能希望在软件开发生命周期内提出有关安全测试的更多问题,以了解漏洞的可能性。

您的业​​务的供应商关系以及这些关系的关键性也值得澄清。一些行业和公司在垂直整合方面都很强大,供应商关系可能较少风险。在其他情况下,供应商是核心业务流程的一部分,可以轻松地暴露您最关键的资产。

关键问题

  1. 您的业​​务创建有哪些数据以及它存储在哪里?
  2. 你有多少个供应商?
  3. 您的供应商关系是什么?

2.澄清你的目标

像每个项目一样,创建一个成功的供应商风险评估问卷开始,以建立明确的目标。对于更少的成熟组织,根本可以获得调查问卷可能是目标。对于更多成熟组织,您可能已经有一个过程,但需要使其更有效。调查问卷的范围更大,必须抵御维护和管理它的成本增加。

最后,对最终推动您的供应商风险计划的难以确保每个人都有相同的首要任务。最坏的情况是什么 数据泄露 对您的业务表示理?你可以面对什么监管处罚?人类的生命可以丢失在服务中断吗?虽然目标是一切完全工作的一切,但在最高水平的优先事项上达到对齐将提供可以避免冲突或误解的准则,旨在求出要问的问题的详细信息。

关键问题

  1. 对您的业务有什么不好的数据泄露?
  2. 您每个月需要处理多少评估?
  3. 供应商风险计划的好结果是什么样的?

好艺术家借...

涉及供应商风险评估时,无需重新发明轮子。虽然懒散的第三方没有理由,但第三方风险比以往任何时候都更重要 - 我们在我们不建立之前所做的事情时,我们为自己和我们的生态系统做了一个荡妇。就像人类分享99%的猿人的猿人一样,企业比他们不同。关于供应商风险的核心问题大多是每个人的担忧 - 供应商遵循安全性最佳实践,谁是他们的供应商,他们使用的是哪种技术以及它更新 - 而一些小细节将从公司变为公司,了解这些核心问题将使您对供应商如何处理其安全风险的一般性。

谷歌vsaq.

在供应商风险管理程序上获取备份员可以轻松。谷歌(VSAQ(供应商安全评估调查问卷)等资源很棒,才能快速移动。最初在2016年发布,VSAQ专为帮助公司理解供应商安全实践而设计。开箱即用,它解决了多个区域,包括数据保护,供应链管理和 信息安全政策。 VSAQ旨在使供应商更容易地使风险评估更容易,重点是简化了安全审查过程。

ISO 27001,HIPAA,PCI DSS

在复杂性频谱的另一端,如ISO 27001,HIPAA和PCI DSS(支付卡行业)。这些类型的综合行业标准和监管要求往往会导致极其详细的供应商安全问卷调查问卷。调查问卷遵守这些标准通常潜水深入概念,包括:

  • 物理安全,包括供应商数据中心
  • 应用安全,特别是专注于Web应用程序的渗透测试
  • 网络安全
  • 数据安全
  • 安全事件管理和 事件响应
  • 供应商中的安全测试实践'S软件开发过程
  • 在供应商面对的安全意识培训's organization
  • 供应商的灾难恢复和业务连续性规划

upguard vendorrisk. 轻松生产符合ISO 27001,HIPAA和PCI DSS的问卷。金融服务,医疗保健和其他受监管部门的多个客户使用VendorRisk验证其供应商's security controls.

随着该计划的高级别目标和对优先事项的一些考虑,您可以开始起草调查问卷。如果您选择模板或行业标准,那么您的安全问卷将被爆发为类别,有助于逻辑组织问题,并确保全面的覆盖避免盲点以供安全风险。了解哪些领域很重要,您需要在这些领域时需要了解的内容,可以帮助为您的业务提供量身定制,但完整的问卷。

关键问题

  1. 您在网上找到类似企业的安全问卷吗?
  2. 什么标准安全问卷提供您可以使用的问题?
  3. 是否有一个解决方案可以帮助您开始使用开箱功能?
  4. 您如何知道您的安全计划是否ISN't working?

4.人员和资源

应该归入决定供应商风险评估问卷的范围和特权的一个约束是将读取和处理答复的人数。在一个完美的世界中,您将拥有尽可能多的信息。对于那些生活在现实世界的人来说,处理信息有时间成本。构建数据到真/假或数字响应 - 可以以编程方式评估风险因素的任何东西 - 可以帮助自动化该摄入量的部分,以便人员时间仅花费读取需要解释和判断的免费响应部分。

考虑到这一点,您的供应商风险计划将有某种预算和致力于其中的一些人。他们将拥有一个固定数量的问题,他们可以在给定的时间内阅读。您的问题应制定,充分利用这一时间 - 快速消除非风险,并了解供应商是否满足您的要求。

关键问题

  1. 有多少人将管理供应商安全评估问卷调查问卷?
  2. 他们有什么其他职责?
  3. 如何加速或自动评估评估?

5.管理文件生命周期的流程

分发问卷只是管理它们的一部分。发送一个后,收件人可能需要跟进提醒。调查问卷的收件人可能不是适当的供应商安全联系,在履行结束时创建额外的滞后。如果您的可接受风险管理门槛的任何偏差,或者在您的组织上尚未讨论的供应商部分的技术选择,您需要进行内部审查以确定响应是否可以接受。如果它超出了安全策略,您需要使用供应商审核结果,并查看它们是否可以修复问题或显示其他区域中的补偿控件减轻了它们所带来的风险。

在达到可接受的供应商提交的决定之后,这些文件需要存储在一些易于访问和可审计的解决方案中,以便在内部审查,安全策略更改或与该供应商违反违反的情况下,可以检索它们。并且,如果一切顺利,他们需要计划在将来的某个点重新发送。威胁环境发生变化,您的业务变更和供应商安全实践的变更。供应商风险评估问卷的年度重新提交提供了一些保证这些事情保持一致。

随着时间的推移收集评估问卷,可以从间隔之间的变化推导出供应商安全风险概况的方式,并且可以在关系所得的情况下变得更加适应或冒险者。

关键问题

  1. 安全问卷将多久分发给供应商?
  2. 何时需要访问安全问卷何时进行审核?
  3. 该过程的哪些部分可以自动化?

6.供应商问卷评估的限制

如果供应商评估听起来像很多工作,那就是因为他们是。重申是什么使得一个良好的调查问卷是不是告诉你你已经知道的事情,而是帮助塑造业务案件让您进行安全计划。部分的一部分是知道什么是缺失的范围。

阅读我们在顶级供应商问卷上的指南

问卷依赖于厂商在自我评估中依靠诚信答案。由于公司内部安全政策和公司风险管理实践没有独立的可见性,因此假设供应商以诚信接听问卷。至少,评估问卷有助于保护小学公司在事件发生时,通过表明执行了尽职调查和供应商安全评估,并在假设供应商有一定的控件来保护数据和服务的情况下采取行动。

在规模,维持常规问卷的供应商变得笨拙。许多公司只会评估他们最重要的供应商,留下了数百名未来的其他公司。跟踪供应商安全联系和评估问卷续订即使对于一小部分供应商而言,也可以证明具有挑战性。此过程通常会对您的信息安全团队更直接的商业工作,如果行政开销超过感知风险,可以忽略。

问卷评估通常每年提交,但安全风险的变化发生在几秒钟内。添加,删除和更新技术;漏洞是在以前安全的软件中发现的;修改配置和访问控制 - 这是IT部门的日常工作。这就是为什么问卷应该伴随独立 外部安全评级 这可以随着时间的推移跟踪可观察的变化。

7.了解更多

当您开始钻入详细信息时,供应商安全问卷和供应商风险评估很多。该过程涉及写入问卷,向供应商提交给供应商,直到他们完整,审查答案,决定如果供应商的风险是可接受的,并定期更新问卷。

在供应商问卷的指南中,我们可以了解如何改进风险评估和安全问卷进程,以及自动化和记录其的upguard。

用Upguard捍卫自己的网络攻击

在Upguard,我们可以 保护您的业务免受数据泄露的影响 并帮助您不断监控 所有供应商的安全姿势.

您的业​​务是否有安全漏洞的风险?

点击这里 现在可以获得免费的安全评级!

免费电子书

网络风险指南供应商问卷调查表

了解如何自动化问卷流程,并确保提出并回答正确的问题。
白色upguard徽标
网络风险指南供应商问卷调查表
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 02:15:20

最近发表