TVRA是否应该通过访问数据中心来完成？

Question

作为一家SaaS供应商，我们希望符合我们新加坡潜在客户的要求。新加坡金融管理局授权每年对新加坡金融机构的数据中心进行TVRA (威胁和脆弱性风险评估)。

• 要进行TVRA，是否有必要亲自访问数据中心，或者我们是否可以向我们的定位中心发送一份关于DC使用的物理安全控制的问卷，并回顾其答案和证据？一般的行业标准是什么？

Answer 1

就像往常一样:这要看情况。

这取决于什么？你的信任水平和你的风险偏好水平。你是否相信DC的经营者会诚实地回答问卷，你愿意在这方面承担哪些风险？你可以从发送问卷开始，就像你已经计划好的。一些商业伙伴认为这样的问题是不雅的，所以要小心处理。

经营者的回答可能会导致违约，因此必须很好地阐述这些问题。与你的法律部门取得联系，并/或查看你与运营商签订的合同。

有几种反应可能导致你建立更多的信任或失去对你的承包商的信任。在内部明确对不同场景和设定目标的期望，就像在其他每个项目中一样。如果所有的答案都听起来太好了，不可能是真的，那就订个航班吧。如果一切听起来都很糟糕，不要预订--考虑终止合同。

Answer 2

任何类型的TVRA或RA的事情都应该通过去网站来做。此外，我认为还需要研究现有的实物安全、网络安全、灾后恢复、业务连续性、应急反应等政策、程序或程序，以了解如何制定控制措施，以减轻已查明的威胁/脆弱性/风险/影响。

当然，区议会可以提供涵盖上述地区的手册或标准作业程序，作为实际实地考察的前奏，以评估/进行TVRA，但我们需要看到这些手册或so在现场发挥作用，以衡量有效性。我甚至可以说，一个有效和全面的TVRA还应该包括一个红队场景，在那里进行威胁或威胁场景，以确定是否触发了足够的控制措施。

透过研究现行的政策、程序、程序和红队演习，再加上深入的TVRA和所需的控制措施，我们可以说是进行了有效的TVRA，必须进行现场评估。