安全調(diào)查問卷是組織供應(yīng)商風(fēng)險(xiǎn)評(píng)估過程的重要組成部分。客戶組織使用安全調(diào)查問卷來收集有關(guān)其第三方供應(yīng)商安全狀況的見解，例如他們的信息安全政策和實(shí)踐。確保供應(yīng)商的網(wǎng)絡(luò)安全措施符合內(nèi)部和外部要求，使組織能夠識(shí)別整個(gè)供應(yīng)鏈攻擊面的第三方風(fēng)險(xiǎn)，甚至是第四方風(fēng)險(xiǎn)。組織還可以使用供應(yīng)商安全調(diào)查問卷回復(fù)來確定潛在供應(yīng)商在與新的合作伙伴關(guān)系前必須解決的安全漏洞。

為什么我收到了安全問卷？

您的組織可能會(huì)收到一份安全調(diào)查問卷，因?yàn)闈撛诳蛻?客戶有興趣參與您的服務(wù)。作為供應(yīng)商盡職調(diào)查流程的一部分以及生命周期的其他關(guān)鍵階段， 客戶組織會(huì)在加入第三方之前發(fā)送安全調(diào)查問卷以審查第三方。

為什么安全問卷很重要？

安全問卷是組織第三方風(fēng)險(xiǎn)管理(TPRM) 計(jì)劃的重要組成部分，因?yàn)樗梢詭椭麄儓?zhí)行供應(yīng)商盡職調(diào)查。當(dāng)組織向第三方提供對(duì)其敏感數(shù)據(jù)的訪問權(quán)限時(shí)，它會(huì)承擔(dān)與該供應(yīng)商相關(guān)的所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因此，如果第三方遭受數(shù)據(jù)泄露或其他安全事件，客戶組織的敏感數(shù)據(jù)也面臨泄露風(fēng)險(xiǎn)。

暴露私人數(shù)據(jù)（例如客戶的個(gè)人身份信息 (PII)）的后果可能導(dǎo)致監(jiān)管行動(dòng)、財(cái)務(wù)行動(dòng)、訴訟和聲譽(yù)受損。安全調(diào)查問卷不僅可以確保服務(wù)提供商遵循適當(dāng)?shù)男畔踩珜?shí)踐，還可以幫助供應(yīng)商通過解決其當(dāng)前網(wǎng)絡(luò)安全計(jì)劃中的安全漏洞來增強(qiáng)其事件響應(yīng)計(jì)劃。

安全問卷涵蓋哪些主題？

安全問卷通常涵蓋以下一個(gè)或多個(gè)網(wǎng)絡(luò)安全主題：

• 信息安全和隱私
• 物理和數(shù)據(jù)中心安全
• 網(wǎng)絡(luò)應(yīng)用安全
• 基礎(chǔ)設(shè)施安全
• 信息安全政策
• 業(yè)務(wù)連續(xù)性管理
• 運(yùn)營彈性
• 事件響應(yīng)計(jì)劃
• 治理、風(fēng)險(xiǎn)管理和合規(guī)
• 威脅和漏洞管理
• 供應(yīng)鏈管理
• 訪問控制
• 數(shù)據(jù)隱私

組織通常會(huì)使用行業(yè)標(biāo)準(zhǔn)框架作為問卷模板來評(píng)估第三方就上述主題。

行業(yè)標(biāo)準(zhǔn)問卷

下面列出了一些最流行的行業(yè)標(biāo)準(zhǔn)安全問卷方法。

CIS 關(guān)鍵安全控制（CIS 前 18 名）：

互聯(lián)網(wǎng)安全中心 (CIS) 創(chuàng)建了關(guān)鍵安全控制以幫助組織抵御網(wǎng)絡(luò)威脅。獨(dú)聯(lián)體 Top 18 優(yōu)先考慮了一系列行動(dòng)，這些行動(dòng)允許組織保護(hù)自己免受對(duì)其關(guān)鍵系統(tǒng)和數(shù)據(jù)的網(wǎng)絡(luò)攻擊。安全控制映射到最流行的安全框架，包括NIST 網(wǎng)絡(luò)安全框架、NIST 800-53、ISO 27000 系列以及PCI DSS、HIPAA、NERC CIP 和FISMA等法規(guī)。

共識(shí)評(píng)估倡議問卷 (CAIQ)

云安全聯(lián)盟 (CSA) 創(chuàng)建了共識(shí)倡議問卷 (CAIQ)，以進(jìn)一步實(shí)現(xiàn)其促進(jìn)安全云計(jì)算最佳實(shí)踐的目標(biāo)。CAIQ 允許組織評(píng)估 IaaS、PaaS 和SaaS云提供商的安全控制。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST 特別出版物）800-171

NIST幫助美國組織實(shí)施網(wǎng)絡(luò)安全和隱私最佳實(shí)踐和標(biāo)準(zhǔn)。NIST SP 800-171旨在保護(hù)非聯(lián)邦系統(tǒng)中的受控非機(jī)密信息 (CUI)。該框架有 14 個(gè)特定的安全目標(biāo)，具有各種控制并映射到NIST 800-53和ISO 27001。任何向國防部 (DoD)、總務(wù)管理局 (GSA) 或美國國家航空航天局 (NASA) 提供產(chǎn)品、解決方案或服務(wù)的組織都必須遵守NIST 800-171。

標(biāo)準(zhǔn)化信息收集問卷 (SIG / SIG-Lite)

? SIG和 SIG-Lite由共享評(píng)估計(jì)劃發(fā)布，這是一個(gè)全球第三方風(fēng)險(xiǎn)管理網(wǎng)絡(luò)，為管理供應(yīng)商風(fēng)險(xiǎn)提供資源。SIG 問卷評(píng)估網(wǎng)絡(luò)安全、IT、隱私、數(shù)據(jù)安全和業(yè)務(wù)彈性。SIG-Lite 由 SIG 采用的更高級(jí)別的問題組成，適用于低風(fēng)險(xiǎn)供應(yīng)商。

供應(yīng)商安全聯(lián)盟問卷 (VSAQ)

VSA 發(fā)布了VSAQ以實(shí)現(xiàn)該組織增強(qiáng) Internet 安全性的目標(biāo)。VSAQ 評(píng)估供應(yīng)商在六個(gè)不同領(lǐng)域的安全實(shí)踐——數(shù)據(jù)保護(hù)、安全策略、預(yù)防性和反應(yīng)性安全措施、供應(yīng)鏈管理和合規(guī)性。

ISO/IEC 27001 (ISO 27001)

國際標(biāo)準(zhǔn)化組織 (ISO) 和國際電工委員會(huì) (IEC) 制定了ISO 27001，以幫助全球組織有效地管理數(shù)據(jù)安全和信息安全。ISO27001 實(shí)施向組織清楚地表明供應(yīng)商擁有有效的信息安全管理系統(tǒng) (ISMS)。

2022 年回答安全問卷的最佳做法

以下是有關(guān)如何有效回答問卷以建立信任的第三方關(guān)系的一些最佳實(shí)踐。所有服務(wù)提供商都會(huì)在銷售過程中收到來自潛在客戶的安全評(píng)估問卷。您的安全團(tuán)隊(duì)必須準(zhǔn)備好在您的銷售團(tuán)隊(duì)回復(fù)提案請(qǐng)求 (RFP) 后迅速有效地回答他們提出的每個(gè)安全問題。以下步驟將幫助您簡化響應(yīng)流程，與潛在客戶建立更強(qiáng)的信任度。

步驟 1. 提供相關(guān)答案

您的安全調(diào)查問卷答復(fù)應(yīng)清楚地回答所提出的問題，僅包括相關(guān)的詳細(xì)信息和證據(jù)。對(duì)于任何模棱兩可的問題，始終要求客戶組織提供進(jìn)一步的解釋，而不是假設(shè)答案。這樣做可能會(huì)導(dǎo)致不正確或無效的響應(yīng)以及雙方之間的額外通信，從而延遲響應(yīng)過程。

有證據(jù)的準(zhǔn)確答案是與客戶建立信任的重要方式。它們還可以幫助您識(shí)別在保護(hù)客戶敏感信息方面可能存在的任何漏洞。例如，如果主題專家 (SME)在填寫調(diào)查問卷時(shí)發(fā)現(xiàn)并非所有客戶數(shù)據(jù)都已加密，他們可以立即采取行動(dòng)在安全事件發(fā)生之前 修復(fù)數(shù)據(jù)泄漏。

步驟 2. 創(chuàng)建知識(shí)庫

為您完成的問卷回復(fù)建立單一的事實(shí)來源將大大減少回答未來問卷所花費(fèi)的時(shí)間，并確保回復(fù)的一致性。您的組織可以通過為已完成的問卷回復(fù)建立單一事實(shí)來源來簡化未來問卷的回復(fù)流程。這樣的存儲(chǔ)庫可以幫助更快地識(shí)別和訪問相關(guān)信息——例如，電子表格可用于記錄所有答案，允許按問卷類型、日期、客戶組織對(duì)回答進(jìn)行排序。

但是，它必須定期手動(dòng)更新最新和準(zhǔn)確的信息，這可能是一項(xiàng)耗時(shí)的任務(wù)。或者，使用第三方風(fēng)險(xiǎn)管理自動(dòng)化可以完全繞過手動(dòng)輸入和更新問卷回復(fù)的需要。Shared Profile通過顯著減少完成所需的時(shí)間來簡化供應(yīng)商響應(yīng)和客戶/潛在客戶風(fēng)險(xiǎn)評(píng)估流程。

步驟 3. 獲得認(rèn)證

雖然獲得 SOC2、NIST、HIPAA、GDPR、ISO 27001 和 FISMA 等流行安全框架的認(rèn)證是一個(gè)耗時(shí)且成本密集的過程，但投資回報(bào)率很高。框架認(rèn)證表明您組織的安全計(jì)劃符合國際標(biāo)準(zhǔn)，并且通常可以用來代替回答多個(gè)問題。在金融和醫(yī)療保健等受到嚴(yán)格監(jiān)管的行業(yè)中，遵守此類框架尤為重要。

對(duì)所有認(rèn)證和支持文檔進(jìn)行有條理的記錄可確保您根據(jù)客戶和潛在客戶的要求提供這些，并且可以輕松解決任何合規(guī)性差距。Vendor Risk提供了一個(gè)用于評(píng)估和證明框架合規(guī)性的集中平臺(tái)。合規(guī)性報(bào)告功能根據(jù)這些框架（例如ISO 27001、NIST 網(wǎng)絡(luò)安全框架、PCI DSS、NIST SP 800-53、GDPR ）映射供應(yīng)商對(duì)安全調(diào)查問卷的響應(yīng)，以識(shí)別合規(guī)和不合規(guī)領(lǐng)域，從而實(shí)現(xiàn)更快的補(bǔ)救。

第 4 步：制定補(bǔ)救計(jì)劃

構(gòu)建一個(gè)最新的問卷響應(yīng)存儲(chǔ)庫可以詳細(xì)了解您組織的安全漏洞。下一步是修復(fù)任何已識(shí)別的問題，并在不幸的漏洞被利用時(shí)制定修復(fù)計(jì)劃。客戶和潛在客戶重視補(bǔ)救計(jì)劃，因?yàn)樗鼈儽砻髂慕M織非常重視保護(hù)敏感數(shù)據(jù)和減輕安全威脅。在客戶和潛在客戶中建立信譽(yù)的關(guān)鍵是始終掌握任何出現(xiàn)的漏洞，并在您的補(bǔ)救計(jì)劃之上 保持健康的安全態(tài)勢(shì)。完整的攻擊面管理解決方案可以實(shí)時(shí)識(shí)別第三方攻擊面的網(wǎng)絡(luò)安全問題，并通過全自動(dòng)工作流程加快修復(fù)過程。