互联网安全中心®(CIS)关键安全控制
是一套包含 18 项建议控制措施和 153 项子控制措施(又称 "保障措施")的系统,旨在帮助 IT 安全团队降低网络安全事件的影响。CIS 将这些控制措施描述为 "具有规定性、优先级、高度集中的一系列行动,这些行动拥有社区支持网络,使其可实施、可用、可扩展,并符合所有行业或政府的安全要求"。
目前,在第 8 版中,18 项 CIS 控制措施和 153 项保障措施按优先顺序分为三个实施组 (IG):
- IG1 包括被 CIS 认为是 "基本网络卫生 "的保障措施,"应可由有限的网络安全专业人员实施,旨在挫败一般的、非针对性的攻击"。
- IG2 包括针对业务复杂性增加的团队的保障措施
- IG3
包括旨在应对复杂网络攻击的保障措施
CIS 还按照NIST 安全功能对每项保障措施进行分类,以简化与 NIST 各项核心功能的交叉映射:识别、检测、保护、响应和恢复。
有两项控制措施包含与第三方风险管理相关的具体指导--控制措施 15:服务提供商管理和控制措施 17:事件响应管理。本文章将分享加快和简化每项控制措施实施的最佳实践。
CIS 关键安全控制 15:服务提供商管理
CIS 第 15 项控制措施建议各组织制定一项流程,以评估其服务提供商保护其可访问或负责的任何敏感数据、关键 IT 平台和/或关键流程的能力。
以下是处理控制措施 15 下七项保障措施中每一项的最佳做法:
15.1 建立和维护服务供应商清单
建立集中的服务供应商库存
通过电子表格模板或与现有采购解决方案的 API 连接导入供应商。整个企业的团队都应能够通过一个集中的、可定制的接收表单和相关工作流程来填充关键供应商的详细信息。每个人都可以通过电子邮件邀请获得这一功能,无需任何培训或解决方案专业知识。
在集中管理所有服务提供商的过程中,团队应创建全面的供应商档案,深入了解供应商的人口信息、第四方技术、ESG 分数、近期业务和声誉情况、数据泄露历史以及近期财务业绩。
15.2 制定并维护服务提供商管理政策
服务提供商管理政策的关键条款应包括
- 管理保护数据的政策、标准、系统和流程
- 明确的角色和职责(如 RACI)
- 供应商分类和分类逻辑
- 根据贵组织的风险承受能力设定风险评分阈值
- 映射第四方和第 N 方,了解组织的数据流向
- 确定正确的评估范围和持续监控数据(网络、业务、声誉、财务)来源
- 关键绩效指标(KPI)和关键风险指标(KRI)
- 针对服务水平的合规性和合同报告要求
- 事件响应要求
- 风险和内部利益攸关方报告
- 风险缓解和补救战略
15.3 服务提供商分类
进行合同前尽职调查评估,根据以下标准进行评分,以捕捉、跟踪和量化固有风险
所有第三方的固有风险:
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度(避免集中风险)
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
通过这种固有的风险评估,您的团队可以自动对供应商进行分类和分级;设定适当的进一步尽职调查级别;并确定持续评估的范围。
15.4 确保服务提供商合同包含安全要求
集中分发、讨论、保留和审查供应商合同
确保将关键安全要求纳入供应商合同、达成一致并在整个合作关系中通过关键绩效指标 (KPI) 加以执行。关键能力应包括
- 集中跟踪所有合同和合同属性,如类型、关键日期、价值、提醒和状态,并提供基于角色的定制视图
- 工作流程功能(基于用户或合同类型),实现合同管理生命周期自动化
- 自动提醒和逾期通知,以简化合同审查
- 集中合同讨论和意见跟踪
- 合同和文件存储,具有基于角色的权限,并对所有访问进行审计跟踪
- 支持离线合同和文件编辑的版本控制跟踪
- 基于角色的权限,可分配职责、访问合同和读/写/修改访问权限
15.5 评估服务提供商
根据固有风险评估所确定的第三方关键性,收集并关联有关各种供应商控制措施的情报,以确定对信息管理的威胁。对于提交 SOC 2 报告而非完整供应商风险评估的第三方,审查SOC 2 报告中确定的控制漏洞清单,针对第三方创建风险项目,并跟踪和报告缺陷。
避免使用电子表格来收集和分析供应商控制信息,因为这种方法是高度人工化的,无法扩展到少数几个供应商之外。
15.6 监控服务提供商数据
持续跟踪和分析第三方面临的外部威胁
通过监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和财务信息的公共和私人来源。
监测来源应包括
- 网络:犯罪论坛;洋葱页面;暗网特殊访问论坛;威胁信息;以及用于粘贴泄漏凭证的网站;漏洞数据库 - 以及若干安全社区、代码库和漏洞数据库
- 运营:并购活动、商业新闻和运营更新的公共和私人来源
- 声誉:负面新闻、监管和法律信息、政治公众人物简介、制裁名单、全球执法名单和法院文件
- 财务企业财务业绩数据库,包括营业额、损益、股东资金等。
评估和持续监控的结果应整理成单一的风险登记册,并提供热图报告,根据可能性和影响对风险进行衡量和分类。有了这种洞察力,团队就能轻松了解风险的后果,并为第三方提供现成的补救建议,以降低风险。
15.7 安全退出服务提供商数据
进行合同评估和离职
程序,以降低贵组织的合同后风险,包括
- 安排审查合同的任务,确保履行所有义务。发布可定制的合同评估,以评估状态。
- 利用可定制的调查和工作流程,报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。
- 集中存储和管理文件与认证,如 NDA、SLA、SOW 和合同。利用基于 AWS 自然语言处理和机器学习分析的内置自动文档分析功能,确认关键标准已得到满足。
- 通过内置的补救建议和指导,采取可行措施降低供应商风险。
CIS 关键安全控制 17:事件响应管理
CIS 第 17 项控制措施建议各组织制定一项计划,开发并维护事件响应能力(如政策、计划、程序、明确的职责、培训和沟通),以准备、检测和快速响应攻击。控制措施 17 有六项具体的保障措施:
17.1 指定人员管理事件处理工作
17.2 建立并维护用于报告安全事件的联系信息
17.3 建立并维护企业事件报告流程
17.4 建立和维护事件响应流程
17.5 分配关键角色和职责
17.6 确定事件响应期间的沟通机制
对于控制 17,Prevalent 建议采用集中管理供应商、进行事件评估、对已识别的风险进行评分、与持续网络监控相关联以及获取补救指导的最佳实践。其中包括
- 利用集中定制的事件和事故管理调查表
- 实时跟踪问卷完成进度
- 确定风险负责人并发出追责提醒,以确保调查如期进行
- 使供应商能够主动报告事件,以增加背景信息并加快响应速度
- 使用工作流程规则触发自动运行程序,根据风险对业务的潜在影响采取行动
- 发布补救指南
- 绘制第三方、第四方和第 N 方关系图,可视化信息路径并确定风险数据
通过将第三方事件响应
通过将第三方事件响应集中到单一的企业事件管理流程中,您的 IT、安全、法律、隐私和合规团队可以有效地协同工作,降低风险。
下一步:下载综合 CIS 控制清单
CIS 关键控制为降低供应链网络安全攻击风险提供了结构和最佳实践。Prevalent 提供了一个中央自动化平台,用于处理 CIS 控制 15 和 17,并将您的第三方风险管理计划扩展为更广泛的网络安全风险管理计划的一部分。了解更多信息,请下载全面的CIS 控制清单,阅读我们的CIS 控制解决方案,或立即安排个性化演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
