安全调查问卷是组织供应商风险评估过程的重要组成部分。客户组织使用安全调查问卷来收集有关其第三方供应商安全状况的见解,例如他们的信息安全政策和实践。确保供应商的网络安全措施符合内部和外部要求,使组织能够识别整个供应链攻击面的第三方风险,甚至是第四方风险。组织还可以使用供应商安全调查问卷回复来确定潜在供应商在与新的合作伙伴关系前必须解决的安全漏洞。
为什么我收到了安全问卷?
您的组织可能会收到一份安全调查问卷,因为潜在客户/客户有兴趣参与您的服务。作为供应商尽职调查流程的一部分以及生命周期的其他关键阶段, 客户组织会在加入第三方之前发送安全调查问卷以审查第三方。
为什么安全问卷很重要?
安全问卷是组织第三方风险管理(TPRM) 计划的重要组成部分,因为它可以帮助他们执行供应商尽职调查。当组织向第三方提供对其敏感数据的访问权限时,它会承担与该供应商相关的所有网络安全风险。因此,如果第三方遭受数据泄露或其他安全事件,客户组织的敏感数据也面临泄露风险。
暴露私人数据(例如客户的个人身份信息 (PII))的后果可能导致监管行动、财务行动、诉讼和声誉受损。安全调查问卷不仅可以确保服务提供商遵循适当的信息安全实践,还可以帮助供应商通过解决其当前网络安全计划中的安全漏洞来增强其事件响应计划。
安全问卷涵盖哪些主题?
安全问卷通常涵盖以下一个或多个网络安全主题:
- 信息安全和隐私
- 物理和数据中心安全
- 网络应用安全
- 基础设施安全
- 信息安全政策
- 业务连续性管理
- 运营弹性
- 事件响应计划
- 治理、风险管理和合规
- 威胁和漏洞管理
- 供应链管理
- 访问控制
- 数据隐私
组织通常会使用行业标准框架作为问卷模板来评估第三方就上述主题。
行业标准问卷
下面列出了一些最流行的行业标准安全问卷方法。
CIS 关键安全控制(CIS 前 18 名):
互联网安全中心 (CIS) 创建了关键安全控制以帮助组织抵御网络威胁。独联体 Top 18 优先考虑了一系列行动,这些行动允许组织保护自己免受对其关键系统和数据的网络攻击。安全控制映射到最流行的安全框架,包括NIST 网络安全框架、NIST 800-53、ISO 27000 系列以及PCI DSS、HIPAA、NERC CIP 和FISMA等法规。
共识评估倡议问卷 (CAIQ)
云安全联盟 (CSA) 创建了共识倡议问卷 (CAIQ),以进一步实现其促进安全云计算最佳实践的目标。CAIQ 允许组织评估 IaaS、PaaS 和SaaS云提供商的安全控制。
美国国家标准与技术研究院(NIST 特别出版物)800-171
NIST帮助美国组织实施网络安全和隐私最佳实践和标准。NIST SP 800-171旨在保护非联邦系统中的受控非机密信息 (CUI)。该框架有 14 个特定的安全目标,具有各种控制并映射到NIST 800-53和ISO 27001。任何向国防部 (DoD)、总务管理局 (GSA) 或美国国家航空航天局 (NASA) 提供产品、解决方案或服务的组织都必须遵守NIST 800-171。
标准化信息收集问卷 (SIG / SIG-Lite)
SIG和 SIG-Lite由共享评估计划发布,这是一个全球第三方风险管理网络,为管理供应商风险提供资源。SIG 问卷评估网络安全、IT、隐私、数据安全和业务弹性。SIG-Lite 由 SIG 采用的更高级别的问题组成,适用于低风险供应商。
供应商安全联盟问卷 (VSAQ)
VSA 发布了VSAQ以实现该组织增强 Internet 安全性的目标。VSAQ 评估供应商在六个不同领域的安全实践——数据保护、安全策略、预防性和反应性安全措施、供应链管理和合规性。
ISO/IEC 27001 (ISO 27001)
国际标准化组织 (ISO) 和国际电工委员会 (IEC) 制定了ISO 27001,以帮助全球组织有效地管理数据安全和信息安全。ISO27001 实施向组织清楚地表明供应商拥有有效的信息安全管理系统 (ISMS)。
2022 年回答安全问卷的最佳做法
以下是有关如何有效回答问卷以建立信任的第三方关系的一些最佳实践。所有服务提供商都会在销售过程中收到来自潜在客户的安全评估问卷。您的安全团队必须准备好在您的销售团队回复提案请求 (RFP) 后迅速有效地回答他们提出的每个安全问题。以下步骤将帮助您简化响应流程,与潜在客户建立更强的信任度。
步骤 1. 提供相关答案
您的安全调查问卷答复应清楚地回答所提出的问题,仅包括相关的详细信息和证据。对于任何模棱两可的问题,始终要求客户组织提供进一步的解释,而不是假设答案。这样做可能会导致不正确或无效的响应以及双方之间的额外通信,从而延迟响应过程。
有证据的准确答案是与客户建立信任的重要方式。它们还可以帮助您识别在保护客户敏感信息方面可能存在的任何漏洞。例如,如果主题专家 (SME)在填写调查问卷时发现并非所有客户数据都已加密,他们可以立即采取行动在安全事件发生之前 修复数据泄漏。
步骤 2. 创建知识库
为您完成的问卷回复建立单一的事实来源将大大减少回答未来问卷所花费的时间,并确保回复的一致性。您的组织可以通过为已完成的问卷回复建立单一事实来源来简化未来问卷的回复流程。这样的存储库可以帮助更快地识别和访问相关信息——例如,电子表格可用于记录所有答案,允许按问卷类型、日期、客户组织对回答进行排序。
但是,它必须定期手动更新最新和准确的信息,这可能是一项耗时的任务。或者,使用第三方风险管理自动化可以完全绕过手动输入和更新问卷回复的需要。Shared Profile通过显着减少完成所需的时间来简化供应商响应和客户/潜在客户风险评估流程。
步骤 3. 获得认证
虽然获得 SOC2、NIST、HIPAA、GDPR、ISO 27001 和 FISMA 等流行安全框架的认证是一个耗时且成本密集的过程,但投资回报率很高。框架认证表明您组织的安全计划符合国际标准,并且通常可以用来代替回答多个问题。在金融和医疗保健等受到严格监管的行业中,遵守此类框架尤为重要。
对所有认证和支持文档进行有条理的记录可确保您根据客户和潜在客户的要求提供这些,并且可以轻松解决任何合规性差距。Vendor Risk提供了一个用于评估和证明框架合规性的集中平台。合规性报告功能根据这些框架(例如ISO 27001、NIST 网络安全框架、PCI DSS、NIST SP 800-53、GDPR )映射供应商对安全调查问卷的响应,以识别合规和不合规领域,从而实现更快的补救。
第 4 步:制定补救计划
构建一个最新的问卷响应存储库可以详细了解您组织的安全漏洞。下一步是修复任何已识别的问题,并在不幸的漏洞被利用时制定修复计划。客户和潜在客户重视补救计划,因为它们表明您的组织非常重视保护敏感数据和减轻安全威胁。在客户和潜在客户中建立信誉的关键是始终掌握任何出现的漏洞,并在您的补救计划之上 保持健康的安全态势。完整的攻击面管理解决方案可以实时识别第三方攻击面的网络安全问题,并通过全自动工作流程加快修复过程。