"分享就是关爱!"我们在成长过程中都听过这句话,而在当今的信息安全领域,它仍然被证明是最基本的真理。在过去的六年里,我一直与公司合作,影响他们的第三方风险管理计划,并鼓励他们采用经济的方法。作为一名实践者,我测试各种技术,帮助公司完善其计划,以满足监管合规要求。作为顾问,我对公司计划进行评估,帮助企业摒弃妨碍他们重复使用相关标准内容的流程,并设计定制的演进方法--所有这些都是本着加快风险意识以提高应变能力的精神。然而,信息共享的概念仍然让我彻夜难眠......
第三方风险信息共享如何演变
全球各行各业都在通过实施档案型内容收集,努力实现我所说的 "停止问卷调查"。从收集供应商所有业务的信息,到收集与所提供服务相关的有意义的内容,已经发生了转变。在最成熟的状态下,我们观察到一种趋势,即简单地收集与关键控制或必须控制相关的内容。我们不能忘记,支持所有风险框架和满足 NIST、ISO、FAIR 等监管要求的三个最关键方面是:
1) 了解公司的关键控制措施、
2) 共享标准化内容和人工制品、
3) 识别和跟踪风险关闭,以更好地了解风险承受能力。
看似简单,对吗?不一定,但可以很简单。
共享评估内容库如何提供帮助
共享评估 "内容库工具集(注意,我指的不是调查问卷)已成为全球最灵活、可重复使用的信息内容库。内容库可以通过分析进行合理调整,以确保收集到的信息与风险管理相关。此外,内容共享还提供了机器学习的机会,以解决最脆弱的安全控制问题。实施标准化内容库方法可消除内容和人工制品收集过程中的延迟和浪费,为风险管理留出空间。在可共享的网络中存储信息安全内容和相关工件,将阻止混乱,为降低风险和提高应变能力提供机会。
要了解更多有关在第三方业务关系中寻求更大保障的最佳实践,请参加下周在弗吉尼亚州阿灵顿举行的第 12 届年度共享评估峰会。我将主持一场关于 "风险框架和风险偏好 "的小组讨论,并与其他专家共同主持一场关于 "网络安全和持续监控 "的四小时研讨会,其中包括一场观众参与的第三方风险情景桌面演练。
如果您碰巧参加了峰会,请到 Prevalent 的展台来找我;我很乐意与您分享我的经验!
如对 Prevalent 有任何疑问,请立即联系我们。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
