供應商安全調查問卷準確地評估了第三方供應商的攻擊面，但前提是它們被智能地利用。當問卷變得過于冗長、千篇一律的模板充斥著專業術語時，問卷的質量和準確性會迅速下降。在這篇文章中，我們建議采取 x 項措施來提高安全問卷的準確性和安全問卷流程的整體效率。

1. 創建定制問卷

從風險管理的角度來看，發送通用的安全調查問卷可能會提高生產率，但這通常會導致許多問題與供應商關系不大，從而導致匆忙和不準確的答復。解決方案是針對每個供應商關系的特定安全上下文創建定制的調查問卷。有針對性的調查問卷不僅簡潔且不耗時，因此不僅可以為供應商風險管理計劃生成更有意義的數據，而且還鼓勵供應商更快地完成它們——這是很難實現的理想行為。

定制問卷應該包括哪些細節？

為了使您的自定義調查問卷具有高度針對性，它應該考慮以下類別的網絡安全信息：

• 監管合規要求——您的調查問卷應符合每個供應商的監管要求，并且最好能夠識別每個標準的所有合規差距。
• 第三方風險管理 (TPRM) 要求——您的自定義調查問卷應包括基于 TPRM 監管標準和 VRM 計劃指定的任何供應商信息安全標準的所有數據安全要求。
• 您的風險偏好——您的供應商評估問卷應該評估每個供應商的安全控制和安全實踐對您組織的風險偏好的有效性。

2. 簡化安全問卷的語言

網絡安全是一個高科技領域，因此，在安全評估中使用技術術語幾乎是必要的，以保持每個問題的完整性和準確性。不幸的是，并非所有第三方供應商都熟悉安全程序的深奧知識，因此這種習慣增加了安全問卷回答不準確的風險。

旨在簡化每個供應商調查問卷的語言，或者至少包括用簡單的術語解釋每個問題的附加注釋。這將需要某種形式的問卷定制，可以使用上一點中提到的自定義問卷構建解決方案，也可以使用電子表格（盡管不建議將電子表格用于供應商風險評估 - 請參閱此案例研究以了解原因）。

如果簡化復雜問題不是您的強項，您可以尋求 ChatGPT 的幫助。如果您對寫作總體上沒有信心，ChatGPT 可以通過為您創建問卷來幫助您簡化整個評估過程。

3. 不要只依賴安全問卷

安全問卷是時間點評估，這意味著它們僅反映供應商在每次評估時的安全狀況。在盡職調查和所有其他正式評估之間，與服務提供商相關的網絡安全風險是未知的。解決方案是擴大安全態勢監控工作，以解決風險評估之間的攻擊面差距。這最好通過增加安全評級的安全問卷來實現。安全評級代表一個組織的網絡威脅彈性水平作為一個值。它們是通過針對一系列攻擊向量評估供應商的攻擊面來計算的，從而對每個供應商的安全態勢進行公正、客觀的量化。