CIS控制措施与第三方风险管理
互联网安全中心®(CIS)关键安全控制是一套包含18项推荐控制措施和153项子控制措施(亦称“安全防护措施”)的体系,旨在帮助IT安全团队降低网络安全事件的影响。
18项CIS控制措施和153项安全防护措施被优先划分为三个实施组(IGs):
- IG1包含被CIS视为"基本网络安全防护措施"的保障措施,这些措施"应能在有限的网络安全专业知识支持下实施,旨在抵御普遍性、非定向攻击"。
- IG2包含旨在帮助应对日益复杂运营的团队的保障措施。
- IG3包含旨在应对复杂网络攻击的保障措施
CIS根据NIST安全功能对每项保障措施进行分类,以便简化与核心NIST功能的交叉映射:识别、检测、保护、响应和恢复。
与第三方风险管理(TPRM)相关的核心控制措施主要有两项——控制措施15:服务供应商管理,以及控制措施17:事件响应管理。PrevalentTPRM平台能够轻松加速并简化各项控制措施的保障措施实施。
相关要求
-
制定评估流程,用于审查持有敏感数据或负责企业关键IT平台及流程的服务供应商,以确保这些供应商能够妥善保护相关平台和数据。
-
建立一套计划,用于开发和维护事件响应能力(例如政策、计划、程序、明确的职责分工、培训和沟通机制),以准备、检测并快速响应攻击。
应对CIS控制15:服务提供商管理
控制15概述:“制定流程以评估持有敏感数据或负责企业关键IT平台及流程的服务提供商,确保这些提供商能够妥善保护相关平台和数据。”
| 守护 | 我们如何提供帮助 |
|---|---|
|
15.1 建立和维护服务供应商清单 安全功能:识别 建立并维护服务提供商名录。该名录应列出所有已知服务提供商,包含分类信息,并为每家服务提供商指定企业联系人。每年或当企业发生可能影响本保障措施的重大变更时,应审查并更新该名录。 |
Prevalent 使企业能够通过电子表格模板导入供应商,或通过 API 连接现有采购解决方案,建立集中化的服务供应商库存。企业内部团队可借助集中化且可定制的供应商信息录入表单及关联工作流,快速完善关键供应商详情。该功能通过电子邮件邀请向全体员工开放,无需任何培训或解决方案专业知识即可使用。 随着所有服务供应商逐步集中化,团队可创建全面的供应商档案,其中包含供应商的人口统计信息、第四方技术、ESG评分、近期业务与声誉洞察、数据泄露历史以及最新财务表现等关键信息。 |
|
15.2 制定并维护服务提供商管理政策 安全功能:识别 制定并维护服务提供商管理政策。确保该政策涵盖服务提供商的分类、清点、评估、监控及退役管理。每年或当企业发生可能影响本保障措施的重大变更时,应审查并更新该政策。 |
Prevalent 公司与您合作,以成熟的最佳实践和丰富的实际经验为基础,建立全面的第三方风险管理 (TPRM) 计划。 我们的专家与您的团队合作,共同定义和实施 TPRM 流程和解决方案;选择风险评估问卷和框架;优化您的计划,以应对从采购和尽职调查到终止和离职的整个第三方风险生命周期。 作为这一过程的一部分,Prevalent 可以帮助您确定:
|
|
15.3 服务提供商分类 安全功能:识别 对服务提供商进行分类。分类考量可包含一项或多项特征,例如数据敏感性、数据量、可用性要求、适用法规、固有风险及缓解风险。每年或当发生可能影响本保护措施的重大企业变更时,应更新并审查分类结果。 |
Prevalent 提供合同前尽职调查评估,根据八项标准进行明确评分,以捕捉、跟踪和量化所有第三方的固有风险。标准包括
基于此内在风险评估,您的团队可自动对供应商进行分类分级;设定适当的后续尽职调查层级;并确定持续评估的范围。 |
|
15.4 确保服务提供商合同包含安全要求 安全功能:保护 确保服务提供商合同包含安全要求。示例要求可包括最低安全计划要求、安全事件和/或数据泄露通知与响应机制、数据加密要求以及数据销毁承诺。这些安全要求必须与企业的服务提供商管理政策保持一致。每年审查服务提供商合同,确保合同中未遗漏安全要求。 |
Prevalent将供应商合同的分发、讨论、保留和审查集中管理,并提供工作流功能以自动化处理从签约到解约的整个合同生命周期。这确保关键安全要求被纳入供应商合同,经双方同意后,通过关键绩效指标(KPI)在合作关系中持续执行。 主要功能包括
|
|
15.5 评估服务提供商 安全功能:识别 根据企业服务供应商管理政策评估服务供应商。评估范围可能因分类而异,可包括审查标准化评估报告(如服务组织控制2级(SOC 2)和支付卡行业(PCI)合规性证明(AoC))、定制化问卷或其他严格的评估流程。服务供应商评估至少每年进行一次,或在签订新合约及续约时同步执行。 |
Prevalent通过自动化风险评估,在第三方生命周期的每个阶段,拓展您第三方风险管理计划的可视性、效率和规模。 该解决方案拥有750多项标准化评估工具库(包括PCI评估),具备定制化能力,并内置工作流与补救措施,可实现从调查收集与分析到风险评级与报告的全流程自动化。 借助Prevalent平台,您可轻松收集并关联各类供应商管控措施的情报,根据第三方固有风险评估确定的关键性,从而识别信息管理面临的威胁。 评估与持续监控的结果汇集于单一风险登记册,通过热力图报告依据风险发生概率与影响程度进行量化分类。借助此洞察,团队可清晰预见风险后果,并为第三方提供现成的补救建议以有效降低风险。 对于提交SOC 2报告而非完整供应商风险评估的第三方,Prevalent将审查SOC 2报告中识别出的控制缺口清单,在平台内针对该第三方创建风险项,并对缺陷进行跟踪与报告。 |
|
15.6 监控服务提供商数据 安全功能:检测 “根据企业服务提供商管理政策对服务提供商进行监控。监控措施可包括定期重新评估服务提供商合规性、监控服务提供商发布说明以及暗网监控。” |
Prevalent 可持续跟踪和分析第三方面临的外部威胁。该解决方案可监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和金融信息的公共和私人来源。 监测来源包括
由于并非所有威胁都是直接的网络攻击,Prevalent还整合了以下来源的数据,为网络安全发现结果提供背景信息:
所有监控数据均与评估结果相关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及响应措施。 |
|
15.7 安全退出服务提供商数据 安全功能:保护 安全地终止服务提供商的合作。需考虑的示例包括:停用用户及服务账户、终止数据流,以及安全销毁服务提供商系统内的企业数据。 |
普瑞瓦伦平台通过自动化合同评估与离职流程,有效降低贵机构在合同终止后面临的风险敞口。
|
应对CIS控制15:服务提供商管理
控制15 概述“建立一套计划,用于开发和维护事件响应能力(例如政策、计划、程序、明确的职责分工、培训和通信机制),以准备、检测并快速响应攻击。”
| 守护 | 我们如何提供帮助 |
|---|---|
|
17.1 指定人员负责处理事件 安全功能:响应 指定一名关键人员及至少一名备用人员,负责管理企业的事件处理流程。管理人员需统筹协调事件响应与恢复工作并完成相关记录,其组成可包含企业内部员工、第三方供应商或混合模式。若采用第三方供应商,须指定至少一名企业内部人员监督其工作。 每年或当企业发生可能影响本保障措施的重大变更时,需进行审查。” 17.2 建立并维护用于报告安全事件的联系信息 安全功能:响应 建立并维护需接收安全事件通知方的联络信息。联络对象可包括内部员工、第三方供应商、执法机构、网络保险提供商、相关政府部门、信息共享与分析中心(ISAC)合作伙伴或其他利益相关方。每年核验联络信息以确保其时效性。 17.3 建立并维护企业事件报告流程 安全功能:响应 建立并维护企业流程,供员工报告安全事件。该流程应包含报告时限、报告对象、报告机制及最低报告信息要求。确保该流程向全体员工公开。每年进行审查,或当企业发生可能影响本保障措施的重大变更时进行审查。 17.4 建立和维护事件响应流程 安全功能:响应 建立并维护一套事件响应流程,明确角色与职责、合规要求及沟通方案。每年进行审查,或当发生可能影响本保障措施的重大企业变更时进行审查。 17.5 分配关键角色和职责 安全功能:响应 “为事件响应分配关键角色与职责,包括法律、IT、信息安全、设施、公共关系、人力资源部门人员,以及事件响应人员和分析师(视情况而定)。每年进行审查,或当发生可能影响本保障措施的重大企业变更时进行审查。” 17.6 确定事件响应期间的沟通机制 安全功能:响应 确定在安全事件期间将采用哪些主要和次要机制进行沟通与报告。这些机制可包括电话、电子邮件或信函。需注意某些机制(如电子邮件)在安全事件期间可能受到影响。应每年进行审查,或在发生可能影响本保障措施的重大企业变更时进行审查。 |
Prevalent通过集中管理供应商、执行事件评估、对识别风险进行评分、关联持续网络监控数据以及获取修复指导,使您的团队能够快速识别、响应、报告并减轻第三方供应商事件的影响。核心功能包括:
通过将第三方事件响应集中于单一系统,并遵循统一的企业事件管理流程,IT、安全、法律、隐私和合规团队能够协同工作以减轻风险。 |
