第三方事件响应是指识别、调查并应对数据泄露、自然灾害或其他外部不利事件的过程,这些事件通过供应商或其他业务合作伙伴影响到组织。其目标是在供应商生态系统或供应链中发生业务中断时维持运营——或至少快速恢复运营;换言之,即保持运营韧性。
事件响应与事件管理
事件响应与事件管理这两个术语常被混淆或互换使用。许多权威机构(如英国国家网络安全中心)将事件响应定义为事件管理的一个子集。在此框架下,事件响应更侧重于事件的技术层面,包括分级处理、分析、缓解、修复及恢复。而事件管理则是更全面的计划,它将事件响应与更广泛的准备工作、沟通机制及报告流程有机结合。
事件管理作为事件响应的基础
根据美国国家标准与技术研究院(NIST)计算机安全事件处理指南SP 800-61,事件管理(IM)流程可分解为以下步骤:
- 事件管理流程准备
- 事件检测、通报与报告程序
- 事件分级与分析
- 事件控制与恢复
- 事后跟进工作,包括经验教训总结
在供应商数据泄露、受保护数据暴露、供应链中断或其他事件发生时,多数组织往往侧重于事件响应等被动措施,例如事件优先级排序、根本原因分析、隔离控制及恢复工作。然而我发现,信息管理中那些着重于准备工作、沟通协调和经验总结的领域,才是组织提升事件应对准备度的关键所在。
为何事件管理在第三方风险管理中至关重要
有效的事件管理与第三方风险管理(TPRM)相辅相成。识别您的第三、第四乃至第N级供应商至关重要,因为高达半数的事件源于供应商环节,而这正是实现高效事件管理的前提。
第三方及分包商合同须包含重大事件确认后固定时限内(通常为24小时,但应尽快)的事件管理/违规通知要求。通过验证第三方事件管理流程及联络渠道,并定期进行电话联络链等测试,可确保具备应对和解决事件的运营准备状态。
有效事件管理的资源
第三方事件可能影响您向客户交付产品与服务的能力。虽然制定事件响应计划是缓解突发状况的关键,但完善组织更广泛的事件管理体系和流程,将使您在事件发生时更有备无患。
以下是一些可用于评估和改进您事件管理计划的补充资源:
- NIST 800-61R2:计算机安全事件处理指南
- ISO/IEC 27035-1:信息安全事件管理 第1部分:事件管理原则
- ISO/IEC 27035-2: 信息安全 事件管理 第2部分:事件管理规划与准备指南
- OCC 2021-55:银行 事件通知最终规则,发布于2021年11月23日
- OCC2022-8:银行计算机安全事件通知的信息技术联络点,发布于2022年3月29日
三项改进事件管理流程
1. 工艺准备
要实施有效的事件管理流程,首先必须明确责任归属,并将职责分配给正确的利益相关方——包括组织内部及整个扩展供应链中的各方。
开展桌面演练,通过模拟事件让所有利益相关方熟悉应急管理流程及其职责分工,可确保关键资源与能力在必要时随时可用。结合定期测试应急程序及验证联络名单,这将使您确信自身具备应对能力——当需要时(而非是否需要时)定能从容应对。
2. 检测、沟通与报告程序
网络情报通过持续监控实际事件及潜在未来事件的信号,帮助您的组织预防事件发生。检测流程确保您及时发现并应对潜在事件,从而限制潜在风险暴露与损害。
在此过程中,您需要向关键利益相关方通报情况,包括根据事件严重程度向高级管理层、董事会及相关监管机构通报。此举对于保障运营韧性、避免声誉受损、财务损失及监管影响至关重要。因此,沟通在您的事件管理流程中发挥着关键作用——既能缓解事件影响,又能及时向内部外部关键利益相关方传递信息,从而加速事件解决进程。
3. 事后跟进工作,包括经验教训总结
从成功与失败中汲取经验是事件管理流程的另一重要环节。通过分析组织或供应链中引发事件的根源,可确保避免重蹈覆辙,并强化后续可能发生的事件的风险管理。持续跟进是验证纠正措施和计划改进是否有效实施的关键所在。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
