La publication spéciale 800-53 du National Institute of Standards and Technology (NIST SP) est un cadre largement adopté que de nombreux professionnels de la sécurité considèrent comme le fondement de tous les contrôles ultérieurs de sécurité de l'information du NIST. Actuellement à sa cinquième révision, la NIST SP 800-53 se concentre sur les contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations, et s'applique également aux vendeurs et fournisseurs tiers.
With numerous organizations adopting SP 800-53 for their information security programs, this post examines the framework’s supply chain risk management controls and third-party risk management guidance and identifies best practice capabilities you can employ to meet NIST requirements for stronger third-party information security.
NIST et risques liés à la chaîne d'approvisionnement des tiers
NIST guidelines require organizations to develop a plan for managing supply chain risks by:
- Utiliser des plans et des politiques formels de gestion des risques pour piloter le processus de gestion de la chaîne d'approvisionnement
- Mettre l'accent sur la sécurité et la protection de la vie privée en collaborant à l'identification des risques et des menaces et en appliquant des contrôles fondés sur la sécurité et la protection de la vie privée
- Exiger la transparence des systèmes et des produits (par exemple, le cycle de vie, la traçabilité et l'authenticité des composants)
- Sensibilisation accrue à la nécessité d'évaluer au préalable les organisations et d'assurer la visibilité des problèmes et des violations.
NIST SP 800-53r5 Contrôles spécifiques à la chaîne d'approvisionnement - Meilleures pratiques
This post includes select controls only. For a full list of controls, please review the complete SP 800-53 guidance in detail and consult your auditor.
| SP 800-53r5 Contrôles spécifiques à la chaîne d'approvisionnement | Capacités en matière de bonnes pratiques |
|---|---|
| CA-2 (2) Évaluations de contrôle - Évaluations spécialisées
Les organisations peuvent procéder à des évaluations spécialisées, y compris la vérification et la validation, la surveillance des systèmes, l'évaluation des menaces internes, les tests d'utilisateurs malveillants et d'autres formes de tests. CA-2 (3) Évaluations des contrôles - Exploitation des résultats d'organisations externes Les organisations peuvent s'appuyer sur les évaluations de contrôle des systèmes organisationnels réalisées par d'autres organisations (externes). |
Recherchez des solutions qui proposent une vaste bibliothèque de modèles prédéfinis pour évaluations des risques liés aux tiers – including those specifically built around NIST controls. Assessments should be conducted at the time of supplier onboarding, contract renewal, or at any required frequency (e.g., quarterly or annually) depending on material changes in the relationship.
Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs. As part of this process, continuously track and analyze external threats to third parties. Monitor the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanction, and financial information. Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse. Veillez à intégrer des données opérationnelles, financières et de réputation provenant de tiers afin d'étoffer les conclusions relatives à la cybercriminalité et de mesurer l'impact des incidents au fil du temps. If required, substitute third-party auditors SOC 2 reports for a vendor’s risk assessments. Review the list of control gaps identified within the SOC 2 report, create risk items against the third party, and track and report against deficiencies over time. |
| CP-2 (7) Plan d'urgence - Coordination avec les prestataires de services externes
Coordonner le plan d'urgence avec les plans d'urgence des prestataires de services externes afin de s'assurer que les exigences en matière d'urgence peuvent être satisfaites. IR-4 (10) Gestion des incidents et coordination de la chaîne d'approvisionnement Coordonner les activités de traitement des incidents liés à la chaîne d'approvisionnement avec d'autres organisations impliquées dans la chaîne d'approvisionnement. IR-5 Suivi des incidents Suivre et documenter les incidents. IR-6 (3) Rapport d'incident - Coordination de la chaîne d'approvisionnement Fournir des informations sur l'incident au fournisseur du produit ou du service et aux autres organisations impliquées dans la chaîne d'approvisionnement ou dans la gouvernance de la chaîne d'approvisionnement pour les systèmes ou les composants de systèmes liés à l'incident. IR-8(1) Plan d'intervention en cas d'incident Inclure les éléments suivants dans le plan d'intervention en cas d'incident pour les violations impliquant des informations personnelles identifiables : (a) Un processus permettant de déterminer s'il est nécessaire d'informer les personnes ou d'autres organisations, y compris les organisations de contrôle ; (b) un processus d'évaluation visant à déterminer l'ampleur du préjudice, de la gêne, du désagrément ou de l'injustice pour les personnes concernées, ainsi que tout mécanisme permettant d'atténuer ces préjudices ; et (c) Identification des exigences applicables en matière de protection de la vie privée. |
As part of your broader incident management strategy, ensure that your third-party incident response program enables your team to rapidly identify, respond to, report on, and mitigate the impact of third-party vendor security incidents. Look for managed services where dedicated experts centrally manage your vendors; conduct proactive event risk assessments; score identified risks; correlate risks with continuous cyber monitoring intelligence; and issue remediation guidance on your organization’s behalf. Managed services can greatly reduce the time required to identify vendors impacted by a cybersecurity incident, coordinate with vendors, and ensure that remediations are in place.
Les principales capacités sont les suivantes
Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications en temps réel des fournisseurs en cas de violation de données. |
| PM-9 Stratégie de gestion des risques
a. Élaborer une stratégie globale de gestion : 1. Le risque de sécurité pour les opérations et les biens de l'organisation, les individus, les autres organisations et la nation, associé au fonctionnement et à l'utilisation des systèmes de l'organisation ; et 2. Risque pour la vie privée des personnes résultant du traitement autorisé d'informations personnellement identifiables ; b. mettre en œuvre la stratégie de gestion des risques de manière cohérente dans l'ensemble de l'organisation ; et c. Examiner et mettre à jour la stratégie de gestion des risques, le cas échéant, pour tenir compte des changements organisationnels. PM-30 Supply Chain Risk Management Strategy a. Élaborer une stratégie à l'échelle de l'organisation pour gérer les risques de la chaîne d'approvisionnement associés au développement, à l'acquisition, à la maintenance et à l'élimination des systèmes, de leurs composants et de leurs services ; b. Mettre en œuvre la stratégie de gestion des risques liés à la chaîne d'approvisionnement de manière cohérente dans l'ensemble de l'organisation ; et c. Réexaminer et mettre à jour la stratégie de gestion des risques liés à la chaîne d'approvisionnement selon une fréquence définie par l'organisation ou en fonction des besoins, afin de tenir compte des changements organisationnels. |
Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité.
Seek out experts to collaborate with your team on:
Dans le cadre de ce processus, vous devez définir :
Continually evaluate the effectiveness of your TPRM program according to changing business needs and priorities, measuring third-party vendor key performance indicators (KPIs) and key risk indicators (KRIs) through the relationship lifecycle. |
| PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission
Identifier, hiérarchiser et évaluer les fournisseurs de technologies, produits et services critiques ou essentiels à la mission. |
Start by quantifying inherent risks for all third parties. Criteria used to calculate inherent risk for third-party prioritization includes:
From this inherent risk assessment, your team can automatically tier suppliers, set appropriate levels of further diligence; and determine the scope of ongoing assessments. La logique de hiérarchisation fondée sur des règles devrait permettre la catégorisation des fournisseurs à partir d'une série de considérations liées aux interactions de données, aux aspects financiers, réglementaires et à la réputation. |
| PM-31 Stratégie de surveillance continue
Élaborer une stratégie de contrôle continu à l'échelle de l'organisation et mettre en œuvre des programmes de contrôle continu comprenant les éléments suivants a. Établir des paramètres à surveiller à l'échelle de l'organisation ; b. Établir des fréquences définies pour le suivi et l'évaluation de l'efficacité des contrôles ; c. Contrôle permanent des paramètres définis par l'organisation conformément à la stratégie de contrôle continu ; d. Corrélation et analyse des informations générées par les évaluations et le suivi des contrôles ; e. les mesures de réponse aux résultats de l'analyse des informations relatives à l'évaluation et à la surveillance des contrôles ; et f. Rendre compte de l'état des systèmes de l'organisation en matière de sécurité et de respect de la vie privée au personnel désigné. |
Continuously track and analyze external threats to third parties. As part of this, monitor the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions, and financial information.
Les sources de surveillance sont généralement les suivantes
Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse. Une fois que toutes les données d'évaluation et de suivi sont corrélées dans un registre central des risques, il convient d'attribuer une note aux risques et de les classer par ordre de priorité en fonction d'un modèle de probabilité et d'impact. Ce modèle doit encadrer les risques dans une matrice, de sorte que vous puissiez facilement voir les risques ayant l'impact le plus élevé et prioriser les efforts de remédiation sur ceux-ci. Attribuer des responsables et assurer le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise. |
| RA-1 Politique et procédures
Élaborer, documenter et diffuser : 1. Une politique d'évaluation des risques qui : (a) il traite de l'objectif, du champ d'application, des rôles, des responsabilités, de l'engagement de la direction, de la coordination entre les entités organisationnelles et de la conformité ; et (b) est compatible avec les lois, décrets, directives, règlements, politiques, normes et lignes directrices applicables ; et 2. Procédures visant à faciliter la mise en œuvre de la politique d'évaluation des risques et des contrôles correspondants ; b. désigner un fonctionnaire chargé de gérer l'élaboration, la documentation et la diffusion de la politique et des procédures d'évaluation des risques ; et c. Examiner et mettre à jour l'évaluation des risques en cours : 1. Policy and 2. Procedures. |
Voir PM-9 Stratégie de gestion des risques |
| RA-2 (1) Catégorisation de la sécurité et hiérarchisation des niveaux d'impact
Procéder à une hiérarchisation des niveaux d'impact des systèmes organisationnels afin d'obtenir une granularité supplémentaire sur les niveaux d'impact des systèmes. |
Voir PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission |
| RA-3 (1) Évaluation des risques - Évaluation des risques de la chaîne d'approvisionnement
(a) évaluer les risques de la chaîne d'approvisionnement associés aux systèmes, aux composants et aux services ; et (b) mettre à jour l'évaluation des risques liés à la chaîne d'approvisionnement lorsque des changements importants interviennent dans la chaîne d'approvisionnement concernée ou lorsque des modifications du système, des environnements d'exploitation ou d'autres conditions peuvent nécessiter une modification de la chaîne d'approvisionnement. |
Look for solutions that feature a large library of pre-built templates for third-party risk assessments – including those specifically built around NIST controls. Assessments should be conducted at the time of supplier onboarding, contract renewal, or at any required frequency (e.g., quarterly or annually) depending on material changes.
Les évaluations doivent être gérées de manière centralisée et soutenues par un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs. |
| RA-3 (2) Évaluation des risques et utilisation des renseignements provenant de toutes les sources
Utiliser toutes les sources de renseignements pour faciliter l'analyse des risques. RA-3 (3) Évaluation des risques et sensibilisation dynamique aux menaces Déterminer en permanence l'environnement actuel des cybermenaces. RA-3 (4) Évaluation des risques et cyberanalyse prédictive Utiliser des capacités avancées d'automatisation et d'analyse pour prévoir et identifier les risques. RA-7 Réponse aux risques Répondre aux conclusions des évaluations, des contrôles et des audits en matière de sécurité et de protection de la vie privée conformément à la tolérance de l'organisation à l'égard des risques. |
Continuously track and analyze external threats to third parties. As part of this, monitor the internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions, and financial information.
Les sources de surveillance sont généralement les suivantes
Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse. Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, il convient d'appliquer une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle doit encadrer les risques dans une matrice, de sorte que vous puissiez facilement voir les risques ayant le plus d'impact et prioriser les efforts de remédiation. Attribuer des responsables et assurer le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise. |
| RA-9 Analyse de criticité
Identifier les composants et fonctions critiques du système en effectuant une analyse de criticité à des points de décision définis dans le cycle de vie du développement du système. |
Voir PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission |
| SR-1 Politique et procédures
Élaborer, documenter et diffuser : 1. Une politique de gestion des risques de la chaîne d'approvisionnement qui : (a) il traite de l'objectif, du champ d'application, des rôles, des responsabilités, de l'engagement de la direction, de la coordination entre les entités organisationnelles et de la conformité ; et (b) est compatible avec les lois, décrets, directives, règlements, politiques, normes et lignes directrices applicables ; et 2. Procédures visant à faciliter la mise en œuvre de la politique de gestion des risques liés à la chaîne d'approvisionnement et des contrôles de gestion des risques liés à la chaîne d'approvisionnement qui y sont associés ; b. désigner un fonctionnaire chargé de gérer l'élaboration, la documentation et la diffusion de la politique et des procédures de gestion des risques liés à la chaîne d'approvisionnement ; et c. Examiner et mettre à jour la gestion actuelle des risques liés à la chaîne d'approvisionnement : 1. Policy and 2. Procedures |
Voir PM-9 Stratégie de gestion des risques |
| SR-2 Plan de gestion des risques de la chaîne d'approvisionnement
a. Élaborer un plan de gestion des risques de la chaîne d'approvisionnement associés à la recherche et au développement, à la conception, à la fabrication, à l'acquisition, à la livraison, à l'intégration, à l'exploitation et à la maintenance, ainsi qu'à l'élimination des systèmes, des composants de systèmes ou des services de systèmes. b. réviser et mettre à jour le plan de gestion des risques de la chaîne d'approvisionnement, le cas échéant, pour tenir compte des changements liés aux menaces, à l'organisation ou à l'environnement ; et c. Protéger le plan de gestion des risques de la chaîne d'approvisionnement contre toute divulgation ou modification non autorisée. |
Voir PM-9 Stratégie de gestion des risques |
| SR-3 Contrôles et processus de la chaîne d'approvisionnement
a. Mettre en place un ou plusieurs processus permettant d'identifier et de traiter les faiblesses ou les insuffisances des éléments et des processus de la chaîne d'approvisionnement, en coordination avec le personnel de la chaîne d'approvisionnement ; b. utiliser les contrôles suivants pour se protéger contre les risques liés à la chaîne d'approvisionnement qui pèsent sur le système, les composants du système ou les services du système et pour limiter les dommages ou les conséquences des événements liés à la chaîne d'approvisionnement ; et c. Documenter les processus et contrôles de la chaîne d'approvisionnement sélectionnés et mis en œuvre dans le plan de gestion des risques de la chaîne d'approvisionnement. |
Voir PM-9 Stratégie de gestion des risques |
| SR-4 (4) Provenance - intégrité de la chaîne d'approvisionnement - pedigree
Utiliser des contrôles et des analyses pour garantir l'intégrité du système et de ses composants en validant la composition interne et la provenance des technologies, produits et services critiques ou essentiels à la mission. |
As part of the due diligence process, require vendors to provide updated software bills of materials (SBOMs) for their software products. This will help you identify any potential vulnerabilities or licensing issues that may impact your organization’s security and compliance. |
| SR-5 Stratégies, outils et méthodes d'acquisition
Utiliser des stratégies d'acquisition, des outils contractuels et des méthodes de passation de marchés pour se protéger contre les risques liés à la chaîne d'approvisionnement, les identifier et les atténuer. |
Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet la comparaison sur des attributs clés.
As all service providers are being centralized and reviewed, teams should create comprehensive vendor profiles that contain insight into a vendor’s demographic information, 4th-party technologies, ESG scores, recent business and reputational insights, data breach history, and recent financial performance. Ce niveau de diligence raisonnable crée un contexte plus large pour prendre des décisions en matière de sélection des fournisseurs. |
| SR-6 Évaluations et examens des fournisseurs
Évaluer et examiner les risques liés à la chaîne d'approvisionnement associés aux fournisseurs ou aux sous-traitants et au système, au composant de système ou au service de système qu'ils fournissent. |
See RA-3 (1) Risk Assessment | Supply Chain Risk Assessment |
| Accords de notification SR-8
Établir des accords et des procédures avec les entités impliquées dans la chaîne d'approvisionnement du système, du composant du système ou du service du système pour la notification des compromissions de la chaîne d'approvisionnement et des résultats des évaluations ou des audits. |
Centralize the distribution, discussion, retention, and review of vendor contracts to automate the contract lifecycle and ensure key clauses are enforced. Key capabilities include:
|
| SR-13 Inventaire des fournisseurs
a. Élaborer, documenter et tenir à jour un inventaire des fournisseurs qui : 1. Reflète de manière précise et minimale les fournisseurs de premier rang de l'organisation qui peuvent présenter un risque de cybersécurité dans la chaîne d'approvisionnement ; 2. Le niveau de granularité est-il jugé nécessaire pour évaluer la criticité et le risque de la chaîne d'approvisionnement, pour assurer le suivi et l'établissement de rapports ; 3. Documente les informations suivantes pour chaque fournisseur de niveau 1 (par exemple, le maître d'œuvre) : examen et mise à jour de l'inventaire des fournisseurs. i. Identifiant unique de l'instrument de passation de marché (contrat, tâche ou ordre de livraison) ; ii. Description des produits et/ou services fournis ; iii. Programme, projet et/ou système utilisant les produits et/ou services du fournisseur ; et iv. Niveau de criticité attribué qui correspond à la criticité du programme, du projet et/ou du système (ou de l'élément du système). b. Examiner et mettre à jour l'inventaire des fournisseurs. |
Centraliser toutes les informations sur les fournisseurs dans un seul profil de fournisseur afin que tous les services en contact avec les fournisseurs disposent des mêmes informations, améliorant ainsi la visibilité et la prise de décision.
Importer les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante, éliminant ainsi les processus manuels sujets aux erreurs. Renseignez les détails clés du fournisseur à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Ce formulaire devrait être accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions. Build comprehensive supplier profiles that compare and monitor supplier demographics, geographic location, fourth-party technologies, and recent operational insights. Having this accumulated data will enable you to report on and take action against geographic and technology concentration risks especially. |
How Mitratech Helps Address NIST SP 800-53 Supply Chain Risk Management Guidelines
Mitratech delivers a central, automated platform for scaling third-party risk management and cybersecurity supply chain risk management. With the right platform, your team can:
- Élaborer un programme de gestion des risques des tiers conforme aux meilleures pratiques, en accord avec la chaîne d'approvisionnement en cybersécurité et les programmes de gestion des risques de l'entreprise de votre organisation.
- Exploiter des informations consolidées sur plusieurs domaines de risque pour automatiser les processus d'appel d'offres et prendre des décisions plus éclairées en matière de diligence raisonnable à l'égard des fournisseurs.
- centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin de s'assurer que les principales exigences en matière de sécurité sont incluses, convenues et appliquées au moyen d'indicateurs de performance clés
- Dresser un inventaire unique des fournisseurs et évaluer le risque inhérent afin d'établir le profil des fournisseurs de services, de les classer et de les catégoriser - et de déterminer la portée et la fréquence appropriées des activités de diligence raisonnable en cours.
- Automatiser l'évaluation des risques et la remédiation à chaque étape du cycle de vie des tiers
- Suivre et analyser en permanence les menaces externes pour les tiers en surveillant l'internet et le dark web pour détecter les cybermenaces et les vulnérabilités.
- Automatiser l'évaluation des contrats et les procédures d'externalisation pour réduire le risque d'exposition post-contractuelle de votre organisation.
- Identifier et atténuer rapidement l'impact des incidents et des atteintes à la sécurité des fournisseurs de services en gérant de manière centralisée les fournisseurs, en procédant à l'évaluation des événements, en notant les risques identifiés et en accédant à des conseils sur les mesures correctives.
Ready to see how your vendor program stacks up against NIST 800-53 SR controls?
Demander une démonstrationQuestions fréquemment posées
What is NIST SP 800-53 SR-6 (Supplier Assessments and Reviews)?
SR-6 requires organizations to assess and review supply chain risks associated with each supplier and the systems or services they provide. Assessments should use consistent baseline criteria to allow risk comparison across suppliers over time, and results must be documented and factored into ongoing vendor risk decisions.
How does NIST 800-53 address third-party and vendor risk management?
NIST 800-53 governs vendor risk primarily through the SR (Supply Chain Risk Management) and RA (Risk Assessment) control families. SR controls establish requirements for supplier assessments, risk plans, notification agreements, and supplier inventories. RA controls govern how those assessments are conducted and how ongoing threats are monitored.
What is NIST SP 800-53 SR-13 (Supplier Inventory)?
SR-13 requires organizations to maintain a documented inventory of tier-one suppliers, including each supplier’s criticality level, what they provide, and which internal systems depend on them. It is the foundation of supplier tiering and appears frequently in federal contractor audits and vendor security questionnaires.
How do NIST 800-53 SR controls apply to third-party vendor assessments?
The SR control family defines what a vendor assessment program must include: a supply chain risk management plan (SR-2), documented controls and processes for identifying weaknesses (SR-3), structured supplier assessments (SR-6), contractual notification agreements (SR-8), and a maintained supplier inventory (SR-13). Each control maps directly to a capability a mature TPRM program should have in place.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.