美国国家标准与技术研究院 (NIST)800-53 Rev. 5是一套全面的最佳实践安全控制标准,许多组织都将其作为内部安全计划的框架。该标准将 1000 多种不同的控制措施归入控制系列。对于安全、风险管理和审计团队来说,如此广泛的可用控制措施很快就会让他们应接不暇,难以确定哪些是最重要的控制措施。如果您不仅要负责评估自己组织的内部控制,还要评估第三方供应商的内部控制,任务就会变得更加复杂。
在本篇文章中,我们将讨论如何将控制措施组织成功能,然后确定 15 项最基本的 NIST 控制措施,用于评估第三方供应商或卖方的安全风险。
组织供应链风险管理 NIST 800-53 控制措施的关键问题
在考虑哪些是最适用的供应风险管理 NIST 网络安全控制措施时,首先要回答这些问题--按 NIST 框架中的五大功能之一进行分类:
- 确定:供应商是否已根据风险管理框架确定其关键系统和组件?这是制定网络安全框架的基础。
- 保护:供应商是否定义并实施了控制措施,以管理对关键系统的访问和可见性?通过积极主动的控制管理来限制或遏制威胁至关重要。
- 检测:供应商对新出现的威胁是否有可视性?识别可能最终影响组织的事件(如事件、弱点和威胁)非常重要。
- 回应:供应商能否识别并处理事故和威胁?这就是采取行动,控制网络安全事件并将其影响降至最低。
- 恢复:供应商是否有能力恢复关键系统和服务?这个问题决定了第三方能否恢复受网络安全事件影响的能力或服务。
供应链风险管理的 15 大 NIST 控制措施
下表按功能汇总了解决上述问题的 15 项关键 NIST 控制措施。请注意,这些只是最低限度的控制措施。您应咨询审计员进行验证。
| 功能 | NIST 800-53 控制 |
|---|---|
| 识别
供应商是否在风险管理框架下确定了其关键系统和组件? |
RA-3:风险评估 - 进行风险评估,记录评估结果,并按规定频率审查和更新评估结果。
SA-4:采购流程- 确定新系统采购中的安全和隐私控制措施。 CM-8:系统组件清单--制定并记录准确反映系统的系统组件清单。 SR-2:风险管理计划- 制定供应链风险管理计划。 |
| 保护
供应商是否定义并实施了控制措施,以管理关键系统的访问和可见性? |
SC-7:边界保护 - 监控外部和内部管理界面的通信。
IA-2:识别和授权--唯一识别和认证用户;批准逻辑访问授权。 AT-2:培训和认识- 组织应为系统用户提供安全和隐私培训。 CM-3:变更控制--确定和记录系统变更的类型,记录变更,并进行监控和审查。 AC-3:访问执行--根据访问控制策略,对信息和系统资源的逻辑访问执行经批准的授权。 |
| 检测
供应商对新的和正在出现的威胁是否有洞察力? |
RA-5:漏洞监控与扫描 - 监控和扫描系统和托管应用程序的漏洞。
SI-4:系统监控- 应对系统进行监控,以检测攻击和潜在攻击的迹象。 AU-2:事件日志- 确定系统能够记录的事件类型。 CP-2:应急计划--各组织应使用规定的测试方法测试系统的应急计划,以确保计划的有效性。 CP-4:应急测试--通过规定的测试,检验系统应急计划的有效性。 |
| 响应和恢复
供应商能否识别并处理事故和威胁?他们是否有能力恢复关键系统和服务? |
IR-4:事件处理和响应- 各组织应实施与事件响应计划相一致的事件处理能力。 |
如何实施供应链风险管理的 15 大 NIST 控制措施
NIST 控制审核不仅仅是识别控制。有关如何将这些 NIST 控制措施付诸实践的更多信息,请下载我们的执行简报《15 大 NIST 供应链风险管理控制措施》,并观看我们的同名点播网络研讨会 !
准备深入了解?查看NIST 第三方合规性检查表,全面了解第三方风险管理实践如何与 NIST 800-53、NIST 800-161 和 NST CSF 中概述的建议相匹配。
立即联系 Prevalent,免费进行成熟度评估或申请演示
以确定您当前的 SCRM 政策与这些关键的 NIST 控制措施之间的差距。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
