评估较小供应商的安全控制

Question

在我工作的IT安全团队中，我们目前使用标准化的信息收集或SIG工具来评估潜在第三方供应商的IT安全态势。我喜欢SIG的问题是标准化的，根据回答，只问相关的后续问题。

在非常小的供应商中，虽然没有专门的IT或IT安全功能，但许多SIG问题可能不适用。目前，我们正在评估一家提供小众服务的较小供应商，由于该供应商填写的SIG问卷所提供的答复非常有限，我们不愿意签署尽职调查。由于供应商的规模，SIG上的许多控件和最佳实践根本不适用。此外，供应商还可以远程访问我们公司的基础设施。

问:对于市场规模也很小且竞争者规模大致相同的极小供应商的风险评估，有哪些替代方法是可行的，因此切换供应商是不可行的？

Answer 1

我在我的工作中使用了不同的方法(有时组合它们)，这是基于我的公司正在消费的供应商提供的。我们有一些小供应商为我们提供SaaS服务，他们利用AWS来承载这些服务，或者他们提供服务(我们给他们数据，他们执行分析或其他服务)，或者他们可能是工作人员的增加，等等。

对于每一种类型的参与：

• 我概述了10个领域(与NIST800-171大致一致)，我们将有风险，以及一些标准问题供供应商回答，使我们能够评估风险。
• 如果提供者自己使用第三方来托管他们的服务或类似的服务，我要求他们提供SOC 1报告。
• 在服务合约中，我曾与采购小组合作，以确保我们有能力审核及验证问卷所列的管制措施是否存在。
• 我确保有一份增编，规定供应商应迅速向我们报告事件。

坦率地说，不能对合同进行基本的安全尽职调查的小商店不应该为您提供服务。取决于您的业务领域，如果供应商没有为安全问题做好准备，您将面临巨大的风险。至少，GDPR的要求和欧盟的罚款应该提醒你不要掉以轻心。

Answer 2

看看NIST 800-171，第三章中的需求列表，如果你把这个列表转换成第三方供应商的问卷，你就会得到非常实际的结果。

Answer 3

根据不同组织的业务需要，有各种不同的安全评估框架，例如，ISO 27001、SIG、COBIT、COSO、HITRUST、NIST、CIS等。如果我们要开始，我们可以根据ISO 27001设计一个框架/清单，这将便于双方执行和解释。更进一步，可以参照COBIT、COSO等框架对检查表进行改进。