了解更多关于拜登总统关于安全的行政命令, Secure, 值得信赖的人工智能. ...
本网站使用cookie,以确保我们给您最好的用户体验. cookie协助导航,分析流量和我们的营销工作,如我们的 Privacy Policy.
当涉及到it安全保障问题时, 至少有一个保证的“保证”——没有放之四海而皆准的IT安全方法.
Our IT Risk & Compliance and Cybersecurity 施耐德唐斯的团队有幸与许多不同类型的安全团队合作, 许多不同类型和规模的全球公司和组织的一部分, 在不同的行业. 现在是时候回报那些使我们在我们的领域获得如此世界级经验的人了.
恶心、胃灼热、消化不良、胃部不适……
这问卷 requests! 如果您的组织经常收到供应商问卷调查请求, 有不同层次的客户需求, 或经历过第三方风险评估范围蔓延, 这篇文章是给你的. 我们来这里是为了简化您的反应,并平息来自太常见的安全跷跷板的噪音.
Symptoms
首先,让我们定义一下“安全跷跷板”这个术语. 这暗示了某些遵从性和安全性实践者的目标略有不同. 一般来说, 法规遵循实践者的主要目标是在已建立的框架内实现法规遵循, regulation, 组织的要求, etc., 安全从业人员的目标是有效地保护组织资产免受潜在威胁. 说得很清楚, 我们在SD的团队在浮动围栏的两边工作, 所以我们对这两种思想流派都感同身受. Fortunately, 双方都有一个共同的目标,将我们所有人聚集在一起:管理和减轻风险!
Diagnosis
问题:所以,你有很多有不同需求的客户. 他们中的许多人用不同的方式问同样的问题. 您的组织如何规范化这些请求以获得更高的效率, 虽然还在见面, 并且有可能超出客户需求?
回答:共同努力实现管理和减轻风险的相同目标. 安全和合规性硬币的每一方都需要了解另一方的目标,以便达到和实现共同目标.
希望所谓的“抓到你”的审计员现在已经很少了. 现在,审计师的审计风格更倾向于关系驱动,这是很常见的, 想要与人合作而不是与人对抗(如果不是的话), 我们可以推荐一些!). 这种风格源于人性的基本概念,并肯定了你们可以通过共同目标一起工作的想法.
Treatment
这里有一些建议, tricks, 以及我们在与第三方审核员有效合作的过程中学到的技巧:
1. 第三方审计以合同开始和结束. 该合同是客户关系的圣杯,也是控制需求的基础. 许多合同需要第三方审计,而不一定是特定的控制. 最佳实践TPRM指导要求组织确保对每个关系的控制达到相应的水平. However, 您为降低风险而实施的特定控制应该是可协商的(如果各方都在谈论风险降低)。.
a. 烤蛋糕的方法不止一种,降低风险的方法也不止一种. 第三方审计机构要求的控制措施并不是最终的结果. 考虑并讨论降低风险的其他选择,以找到安全性与安全性之间的平衡. 双方都能接受的功能.
b. 考虑“接受”风险. 如果您的组织不愿意实施某种控制(由于成本或业务基本原理的考虑), 考虑修改合同以接受风险, 这种风险应该被利用吗.
2. 当您为即将到来的第三方风险审计/评估做计划时, 特别注意审计业务的范围. 密切关注组织“处理”(存储)的数据元素, transmits, accesses, etc.)代表你的客户. 围绕这些数据元素的系统和控制都应该是相关的.
a. 如果您不确定“处理”了哪些数据元素,请澄清.
3. 大多数基于标准的评估报告没有显示为确定操作有效性而执行的测试. 唯一显示这些测试的基于标准的评估报告是SOC 1 II型和SOC 2 II型报告. 其他类型的基于标准的评估报告只显示控制的设计或测试的结果(例如, ISO, HITRUST认证, PCI, SOC 1 Type I, SOC 2 Type I, SOC 3, etc.)
a. 如果您的第三方审核员不能利用非SOC 1或2类型II的基于标准的评估报告,请不要感到惊讶.
4. 考虑隔离客户数据. 如果您不愿意在您经常使用的环境中改变某些安全需求, 考虑隔离客户关心的范围内客户数据. Specifically, 气隙是一种有效的网络安全措施,可以在物理上隔离网络和/或接口. 但是,您的组织有许多方法可以隔离数据并限制第三方需求.
5. 如果你有一系列你接受的发现, 不要承诺一个会导致问题的时间表. 时间表是可以商量的. 这里要记住的关键词是“合理”.“如果每个人都同意时间表是公平合理的, 然后你就可以满足第三方的要求了.
6. 客户需要您的组织实现特定的控制,没有任何余地,他们可能不会说风险. For example, “需要您获得ISO认证”或“需要您每30分钟更改一次密码”的客户.”
a. 考虑问问他们担心的风险是什么, 如果风险被利用会发生什么.e.(理解为什么它是一个需求),以达到关注的底部.
7. 云需求——没错, 第三方审计师关心的不仅仅是第三方, 即第四党和潜在的第五党. 如果您的客户正在询问您的云供应商, 维护第三方对供应商的要求是您的责任, 你可能需要这样做,就像你被追究责任一样.
a. Fortunately, 云bet9平台游戏提供商面临着与您相同的第三方要求,并且通常可以提供SOC 2 Type II报告来独立证明安全保障.
8. 担心你即将续约的事? 或者更好的是,寻求与新客户的首次合同?
a. 不管在第三方审计中发现了多少惊人的漏洞, 一般来说,您仍然可以通过记录全面的补救程序来满足第三方审核员的要求. 最终,我们希望看到你关心你的安全,并有计划.
9. 你们的第三方审核员不接受你们的SOC报告吗? 或者提出超出SOC报告测试范围的问题?
a. 如果你被要求将你的SOC控制映射到你的客户的问卷上,或者如果他们有超出SOC报告中测试的问题, 那么您就收到了有效的请求. 这仅仅意味着您的客户对风险具有更高的敏感性. 再看一遍本文的第一句话. 安全不是一种放之四海而皆准的方法, 不同的客户/第三方审核员会根据他们的风险偏好有不同的要求. 好消息是,有一些简单的方法可以处理这类请求:
i. Have your SOC审核员为您绘制控制人行横道. 毕竟,他们是独立设计和测试你的控制的人. 他们可能与你的控制措辞有着比你更密切的关系.
ii. 将第三方审核员要求测试的控制添加到您未来的SOC报告中. 这将进一步使您能够坚持TPRM的“一次测试,多次提供”的方法.
10. 最后但同样重要的是,我们知道你们的政策和程序是“最高机密”.“我们也知道,它们通常都是我们看过100次以上的东西。”
相关文章
本文是探讨第三方风险管理程序重要性的系列文章的一部分, 您可以在下面查看其他文章.
查看我们的整个第三方风险管理文章库 here.
施耐德唐斯是共享评估集团的注册评估公司, 明确领导者对第三方风险管理的指导. 我们的员工在供应商风险管理的各个方面都经验丰富, 并拥有必要的证书(CTPRP), CISA, CISSP, etc.)达到有意义的结果,以帮助贵组织有效地达到新的供应商风险管理高度.
Learn more at 5a.ocat-wg.net/tprm or contact us 了解更多信息.