評估潛在供應商的網絡風險是任何組織管理第三方風險的最重要方面之一。供應商風險評估流程可幫助企業(yè)決定與哪些合作伙伴或服務提供商合作,更重要的是,決定將最敏感的數據委托給誰。
網絡安全風險評估流程必須明確定義和程序化,以便組織可以選擇合適的第三方供應商,避免因數據泄露或數據泄露而導致重大財務、聲譽和法律損失的風險。如果他們選擇與之合作的供應商未能維護基本的安全要求并且不遵守法規(guī)要求,組織也將有過錯。本指南將重點介紹組織如何為潛在供應商識別和評估網絡風險,以及他們如何為這一過程做好準備。
網絡風險評估需要完成什么?
網絡風險評估過程需要完成一個主要目標:識別和分類風險以確定其潛在影響和發(fā)生的可能性。為此,組織需要了解風險的性質、風險發(fā)生的方式、影響的對象或對象,以及最壞情況下的所有潛在結果。每個組織都必須在供應商采購過程中進行盡職調查,以降低其運營風險。
除了評估網絡風險,整體供應商風險管理策略還必須在選擇與新供應商合作或合作之前考慮風險分析。如果發(fā)生網絡攻擊,風險分析通過限定風險的重要性并量化其對業(yè)務運營的影響范圍來補充風險評估。
重要的是要注意,風險評估不應僅在新供應商的入職過程中執(zhí)行——它們必須在供應商的整個生命周期中定期執(zhí)行,以確保他們保持其網絡安全態(tài)勢。如果供應商開始放棄并忽視他們的安全計劃,則由組織決定是否更換該供應商或與他們合作以補救其風險。這稱為“供應商關系管理”,對于任何供應商風險管理計劃都是必不可少的。
評估供應商網絡風險的分步指南
組織和企業(yè)可以按照以下步驟作為其網絡風險評估過程的一部分:
- 識別所有關鍵業(yè)務資產、系統(tǒng)和數據
- 識別所有潛在風險、漏洞和網絡威脅
- 確定風險標準和風險承受能力
- 審查現有的安全控制
- 驗證是否符合現有行業(yè)標準、框架和法規(guī)
- 計算風險發(fā)生的可能性和總影響
- 定義合同條款和服務級別協(xié)議 (SLA)
1. 識別所有關鍵業(yè)務資產、系統(tǒng)和數據
了解哪些資產對您的組織最重要是供應商風險評估流程的第一步。作為流程的一部分,需要訪問更敏感信息的供應商必須滿足更嚴格的安全要求。
如果企業(yè)不先了解他們的哪些資產最有價值并招致最大風險,就不可能為其供應商評估網絡風險。在確定最重要的資產后,組織可以開始圍繞這些資產定制供應商風險評估,并專注于最相關的安全控制。
2. 識別所有潛在風險、漏洞和網絡威脅
一旦確定了所有關鍵資產,企業(yè)就必須確定在與供應商共享數據時面臨的風險類型,以及它們可能如何被利用或暴露。具有未修補漏洞、大攻擊面和缺乏威脅管理的潛在供應商可能是早期需要審查的初始危險信號。
一旦確定了所有風險和漏洞,就應按嚴重程度(低、中、高、嚴重)和發(fā)生的可能性(不太可能、可能、極可能)對它們進行分級和分類。
此外,企業(yè)需要確定資產在供應鏈中的處理方式(如果有的話)。如果多個供應商正在處理資產,包括額外的第四方服務提供商,那么這些組織將需要考慮擴展其第三方風險管理計劃以包括第四方風險管理。
3. 確定風險標準和風險承受能力
在進入采購流程之前,組織必須為所有潛在供應商建立最低安全要求。這為衡量供應商安全性建立了一個基線,以幫助簡化整個流程。不符合這些要求的供應商,無論是潛在供應商還是現有供應商,都應自動標記并拒絕或終止合同。
在這樣做時,組織定義了他們的風險承受能力或風險偏好,這指定了他們在評估潛在供應商時愿意接受的風險級別。由于每個供應商也有自己的風險概況,因此確定可接受的風險級別將使組織能夠優(yōu)先考慮所有供應商的風險和威脅管理。供應商也可以按其整體關鍵級別進行分級,以便組織可以快速查看誰需要首先審查和解決問題。
4.審查現有的安全控制
安全控制是每個公司安全計劃的支柱,必須針對所有潛在供應商進行評估。這意味著驗證供應商是否具有適當的安全措施來處理您組織最重要的數據。如果供應商沒有適當的安全控制措施,則由組織幫助實施它們或提供實施適當控制措施的指導。
但是,由于每個供應商的安全控制都是獨特且不同的,因此該過程的這一步可能特別耗時且資源密集。這可能會給擴展業(yè)務或已經管理數百家供應商的大型企業(yè)帶來問題。
為確保每個供應商的安全都受到全面監(jiān)控,組織需要考慮使用專用的供應商管理服務或工具來自動執(zhí)行這些步驟并擴展評估流程。一些特別有用的解決方案或工具是:
- 安全評級服務
- 風險和漏洞掃描器
- 持續(xù)監(jiān)控解決方案
- 安全調查問卷和合規(guī)經理
在某些情況下,企業(yè)級組織可能希望考慮在更大范圍內外包整個網絡供應商風險管理流程。
5. 驗證是否符合現有行業(yè)標準、框架或法規(guī)
合規(guī)性是安全評估過程的重要組成部分,因為它可以根據供應商所在的行業(yè)確定供應商是否滿足法律規(guī)定的安全要求。組織可以使用風險評估問卷來驗證是否符合各種法規(guī)和框架。
盡管并非所有評估標準或框架都是法律強制性的,但供應商很可能需要遵循其中的一項或多項,以滿足組織設定的最低安全要求。在許多情況下,最低要求基于信息安全行業(yè)標準。不合規(guī)的供應商可能被歸類為較高風險,從而降低他們建立業(yè)務伙伴關系的潛力。
一些最大或最常見的評估標準包括:
- NIST(美國國家標準技術研究院)CSF
- HECVAT(高等教育社區(qū)供應商評估工具)
- HIPAA(健康保險流通與責任法案)
- PCI-DSS(支付卡行業(yè)數據安全標準)
- ISO(國際標準化組織)27001
- 歐盟 GDPR(通用數據保護條例)
- CCPA(加州消費者隱私法)
- SOX(2002 年薩班斯-奧克斯利法案)
- COBIT(信息和相關技術的控制目標)
- GLBA(格拉姆-里奇-比利利法案)
- FISMA(2014 年聯(lián)邦信息安全現代化法案)
- CIS 控制(互聯(lián)網安全控制中心)
- 標準化信息收集 (SIG)
- 云安全聯(lián)盟 (CSA)
6.計算風險發(fā)生的可能性和總影響
計算供應商風險的最簡單方法是Likelihood x Impact = Risk。然而,計算風險的方法不能簡化為一個單一的方程式。還必須考慮其他因素,例如威脅的類型、漏洞的嚴重性和信息價值。相反,許多 IT 安全專家使用的一種常見(和流行)方法是定性和定量風險分析。
定性風險分析通常基于場景,并使用假設情況來確定感知風險。定性方法比定量方法更主觀,需要了解每個面向公眾的風險的聲譽風險和財務影響。
另一方面,定量風險評估方法從統(tǒng)計的角度衡量網絡風險,通過使用包括發(fā)生可能性、損失預期和風險補救成本在內的指標來量化風險的確切成本。
組織可以將他們的風險計算結果納入他們的評估過程,以最終決定是加入還是拒絕潛在的供應商。被視為高風險供應商的第三方可能會導致組織尋找替代供應商或制定更嚴格的要求和更密切的監(jiān)控,以確保所有風險都得到緩解或補救。
7. 定義合同條款和服務級別協(xié)議 (SLA)
如果供應商被認為是可接受的并滿足組織的要求,最后一步是在 SLA 中定義合同條款,包括支持強大的網絡安全實踐和違規(guī)條款的協(xié)議。管理第三方關系(或任何業(yè)務關系)的部分過程是確保供應商理解業(yè)務協(xié)議的條款,這些條款可以每年審查一次。
請務必注意,在采購過程中和簽署任何 SLA 之前,組織不必開始風險補救過程,除非供應商被視為“關鍵供應商”或對業(yè)務繼續(xù)運??營至關重要的供應商。如果該供應商被歸類為嚴重風險級別的“關鍵供應商”,則可能會影響后續(xù)起草的SLA具有更嚴格、更嚴格的安全要求。