NIST 和第三方风险管理

美国国家标准与技术研究院(NIST)是美国商务部下属的一个联邦机构。NIST 的职责包括为联邦机构制定计算机和信息技术相关标准和指南。由于 NIST 发布并维护适用于任何公司的网络安全风险管理关键资源,因此许多私营部门组织都将遵守这些标准和指南视为重中之重。

一些 NIST 特别出版物有具体的控制措施,要求组织建立和实施识别、评估和管理供应链风险的流程。这些 NIST 特别出版物包括

由于 NIST 准则是相辅相成的,因此组织可以在一个专门出版物上实现标准化,并与其他出版物进行交叉映射,这实际上是在使用一个框架来满足多项要求。Prevalent 第三方风险管理平台可用于满足 NIST 对加强供应链安全的要求。

相关要求

  • 评估安全控制措施是否正确实施、按预期运行并符合要求

  • 持续监控安全控制,以确定其有效性

  • 确定对供应商的网络安全要求

  • 通过正式协议(如合同)颁布网络安全要求

  • 向供应商说明如何核实和验证网络安全要求

  • 通过评估方法验证网络安全要求是否得到满足

NIST SP 800-53r5 和 SP 800-161r1 TPRM 控制交叉映射

以下汇总表将 Prevalent 第三方风险管理平台的可用功能与 SP 800-53 中的第三方、供应商或供货商控制措施进行了映射,并与 SP 800-161 进行了交叉映射。

 

SP 800-53 r5 控制编号与 SP 800-161r1 的交叉映射 我们如何提供帮助
SP 800 53 控制与 SP 800-161 重叠

  • CA-2 (1) 控制评估|专门评估
  • CA-2 (3) 控制评估|利用外部组织的结果
该 主流第三方风险管理平台 includes more than 100 standardized risk assessment survey templates – including for NIST, ISO and many others — a custom survey creation wizard, and a questionnaire that automatically maps responses to any compliance regulation or framework. All assessments are based on industry standards and address all information security topics as they pertain to supply chain partner security controls.

Prevalent Vendor Threat Monitor (VTM)可持续跟踪和分析供应商和其他第三方面临的外部可观测威胁。该服务通过监测互联网和暗网的网络威胁和漏洞,补充和验证来自 Prevalent 平台的供应商报告的安全控制数据。它还将评估结果与运营、财务、法律和品牌风险研究关联起来,形成统一的风险登记册,实现集中的风险分流和响应。

借助 Prevalent 平台,您可以高效地与供应商沟通并协调修复工作。捕获并审核对话;记录预计完成日期;根据逐个回答接受或拒绝提交的文件;根据风险、文件或实体分配任务;将文件和证据与风险相匹配。

SP 800 53 控制与 SP 800-161 重叠

  • CA-7 (3) 持续监测与趋势分析
Prevalent VTM 通过监控 1,500 多个犯罪论坛、数千个洋葱页面、80 多个暗网特殊访问论坛、65 多个威胁源和 50 多个用于查找泄漏凭证的粘贴网站,以及多个安全社区、代码库和漏洞数据库,揭示了 55 万家主动跟踪公司的第三方网络事件。

然后,Prevalent 对来自多个输入的信息进行规范化、关联和分析,包括来自 Prevalent Vendor Threat Monitor 和 BitSight 的由内而外的风险评估和由外而内的监控。这一统一模型可提供背景、量化、管理和修复支持。

SP 800 53 控制与 SP 800-161 重叠

  • CP-2 (3) 应急计划|与外部服务供应商协调
该 Prevalent Third-Party Incident Response Service enables you to rapidly identify and mitigate the impact of supply chain breaches by centrally managing vendors, proactively conducting event assessments, scoring identified risks, and accessing remediation guidance.

Prevalent 平台包含统一的功能,用于评估、分析和解决供应商业务复原计划中的薄弱环节。这使您能够积极主动地与供应商社区合作,为大流行病、环境灾难和其他潜在危机做好准备。

除了促进基于内部控制的自动定期评估外,Prevalent 平台还提供网络安全、业务、声誉和财务监控--持续评估第三方,以发现可能被网络犯罪分子利用的潜在薄弱环节。

所有风险情报都在一个风险登记册中集中、关联和分析,该登记册可自动报告和响应,并具有基于事件可能性及其影响的灵活加权评分模型。

SP 800 53 控制与 SP 800-161 重叠

  • IR-4 (3) 事件处理|供应链协调
该 Prevalent Third-Party Incident Response Service enables you to rapidly identify and mitigate the impact supply chain breaches by centrally managing vendors, proactively conducting event assessments, scoring identified risks, and accessing remediation guidance.

Prevalent 平台包含统一的功能,用于评估、分析和解决供应商业务复原计划中的薄弱环节。这使您能够积极主动地与供应商社区合作,为大流行病、环境灾难和其他潜在危机做好准备。

除了促进基于内部控制的自动定期评估外,Prevalent 平台还提供网络安全、业务、声誉和财务监控--持续评估第三方,以发现可能被网络犯罪分子利用的潜在薄弱环节。

所有风险情报都在一个风险登记册中集中、关联和分析,该登记册可自动报告和响应,并具有基于事件可能性及其影响的灵活加权评分模型。

SP 800 53 控制与 SP 800-161 重叠

  • IR-5 事件监测
Prevalent Contract Essentials 是一个 SaaS 解决方案,可集中分发、讨论、保留和审查供应商合同。它还包括工作流功能,可自动完成从入驻到离职的合同生命周期。有了 Contract Essentials,您的采购和法律团队就有了单一的解决方案,可确保关键合同条款到位,并对服务水平和响应时间进行管理。
SP 800 53 控制与 SP 800-161 重叠

  • IR-6 (1) 事故报告|供应链协调
Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。
SP 800 53 控制与 SP 800-161 重叠

  • IR-8 事件响应计划
Prevalent 第三方事件响应服务通过集中管理供应商、进行事件评估、对已识别的风险进行评分以及获取补救指导,使您能够快速识别并减轻供应链违规事件的影响。事件响应服务为董事会和高管就供应链事件的影响提出问题做好充分准备,并向审计师和监管机构证明您的第三方违规响应计划奠定了基础。
SP 800 53 控制与 SP 800-161 重叠

  • PM-16 威胁意识计划
Prevalent VTM 通过监控 1,500 多个犯罪论坛、数千个洋葱页面、80 多个暗网特殊访问论坛、65 多个威胁源和 50 多个用于查找泄漏凭证的粘贴网站,以及多个安全社区、代码库和漏洞数据库,揭示了 55 万家主动跟踪公司的第三方网络事件。

然后,Prevalent 对来自多个输入的信息进行规范化、关联和分析,包括来自 Prevalent Vendor Threat Monitor 和 BitSight 的由内而外的风险评估和由外而内的监控。这一统一模型可提供背景、量化、管理和修复支持。

Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。

SP 800 53 控制与 SP 800-161 重叠

  • PM-31 持续监测战略
Prevalent VTM 通过监控 1,500 多个犯罪论坛、数千个洋葱页面、80 多个暗网特殊访问论坛、65 多个威胁源和 50 多个用于查找泄漏凭证的粘贴网站,以及多个安全社区、代码库和漏洞数据库,揭示了 55 万家主动跟踪公司的第三方网络事件。

然后,Prevalent 对来自多个输入的信息进行规范化、关联和分析,包括来自 Prevalent Vendor Threat Monitor 和 BitSight 的由内而外的风险评估和由外而内的监控。这一统一模型可提供背景、量化、管理和修复支持。

Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。

SP 800 53 控制与 SP 800-161 重叠

  • RA-1 政策和程序
Prevalent 平台包括 100 多个标准化风险评估调查模板(包括 NIST、ISO 和其他许多模板)、一个自定义调查创建向导,以及一个可将回复映射到任何合规法规或框架的问卷。所有评估均以行业标准为基础,涉及与供应链合作伙伴安全控制相关的所有信息安全主题。

利用 Prevalent 平台,您可以在调查完成后自动生成风险登记册,确保可在集中式实时报告仪表板中查看整个风险概况(或特定角色版本),并可下载和导出报告以确定合规状态。这样可以过滤掉不必要的噪音,将可能存在问题的区域归零,提供可视性和趋势,以衡量计划的有效性。然后,您可以采取可行的措施,通过内置的补救建议和指导来降低供应商风险。

SP 800 53 控制与 SP 800-161 重叠

  • RA-3 风险评估
Prevalent 平台包括 100 多个标准化风险评估调查模板(包括 NIST、ISO 和其他许多模板)、一个自定义调查创建向导,以及一个可将回复映射到任何合规法规或框架的问卷。所有评估均以行业标准为基础,涉及与供应链合作伙伴安全控制相关的所有信息安全主题。Prevalent 为安全、隐私和风险管理专业人士提供了一个自动化平台,用于管理供应商风险评估流程,并确定供应商是否符合 IT 安全、法规和数据隐私要求。

除了促进基于内部控制的自动定期评估外,Prevalent 平台还提供网络安全、业务、声誉和财务监控--持续评估第三方,以发现可能被网络犯罪分子利用的潜在薄弱环节。

Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。

SP 800 53 控制与 SP 800-161 重叠

  • RA-7 风险应对
Prevalent 平台具有内置指导功能,可将控制失效或其他已识别的风险补救至组织可接受的水平。Prevalent 还能让风险评估人员与第三方就补救措施进行沟通,记录对话和更新内容,并将支持性控制文件存储在一个集中的存储库中。
SP 800 53 控制与 SP 800-161 重叠

  • RA-9临界性分析
Prevalent 提供固有风险评估问卷,根据八项标准进行明确评分,以捕捉、跟踪和量化所有第三方的风险。评估标准包括

  • 验证控件所需的内容类型
  • 对业务绩效和运营的关键性
  • 地点及相关法律或监管考虑因素
  • 对第四方的依赖程度(避免集中风险)
  • 接触操作或面向客户的流程
    *与受保护数据交互
  • 财务状况和健康
  • 声誉

利用固有风险评估,您可以自动对供应商进行分级,设定适当的进一步尽职调查级别,并确定后续定期评估的范围。

基于规则的分层逻辑可根据一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。

SP 800 53 控制与 SP 800-161 重叠

  • SA-4 (3) 采购流程|控制的持续监控计划
除了促进基于内部控制的自动定期评估外,Prevalent 平台还提供网络安全、业务、声誉和财务监控--持续评估第三方,以发现可能被网络犯罪分子利用的潜在薄弱环节。

Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。

SP 800 53 控制与 SP 800-161 重叠

  • SI-4 (1) 系统监控|综合态势感知
Prevalent VTM 可持续跟踪和分析供应商和其他第三方面临的外部可观测威胁。该服务通过监测互联网和暗网的网络威胁和漏洞,将评估结果与运营、财务、法律和品牌风险研究关联起来,形成统一的风险登记册,实现集中的风险分流和响应,从而补充和验证来自 Prevalent 平台的供应商报告的安全控制数据。

Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。

SP 800 53 控制与 SP 800-161 重叠

  • SI-5 安全警报、通知和指令
Prevalent VTM 可持续跟踪和分析供应商和其他第三方面临的外部可观测威胁。该服务通过监测互联网和暗网的网络威胁和漏洞,将评估结果与运营、财务、法律和品牌风险研究关联起来,形成统一的风险登记册,实现集中的风险分流和响应,从而补充和验证来自 Prevalent 平台的供应商报告的安全控制数据。

Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。

SP 800-53 r5 供应链风险管理 (SR) 控制

下表包括 SP 800-53 r5 供应链风险管理控制的摘录以及 Prevalent 平台如何满足这些要求。如需完整的映射,请下载完整的NIST 指南

SP 800-53 r5 供应链风险管理 (SR) 控制 我们如何提供帮助
SR-1 政策和程序 Prevalent 计划设计服务可确定并记录您的第三方风险管理计划。您将获得一份明确的计划,该计划既能满足您的特定需求,又能纳入端到端 TPRM 的最佳实践。
SR-2 供应链风险管理计划 Prevalent 计划优化服务可帮助您不断改进 Prevalent 平台部署,确保您的 TPRM 计划保持所需的灵活性和敏捷性,以满足不断变化的业务和监管要求。
SR-3 供应链控制和流程 Prevalent 计划设计服务可确定并记录您的第三方风险管理计划。您将获得一份明确的计划,该计划既能满足您的特定需求,又能纳入端到端 TPRM 的最佳实践。
SR-5 采购战略、工具和方法 Prevalent 帮助采购团队在供应商甄选过程中降低成本、简化流程并减少风险敞口。我们的 RFx 基本知识 该解决方案可对 RFP 和 RFI 进行集中分发、比对和管理。它还能帮助您抢占先机 潜在供应商风险 包括人口统计、第四方及ESG评分——此外还可选配业务、声誉和财务风险分析。因此,您能够迈出应对第三方生命周期中风险的重要第一步。

一旦完成供应商选择,PrevalentContract Essentials将集中分发、讨论、保留和审查供应商合同。它还包括工作流功能,可自动完成从入驻到离职的合同生命周期。有了 Contract Essentials,采购和法律团队就有了管理供应商合同、简化管理和审查、降低成本和风险的单一解决方案。

SR-6 供应商评估和审查 Prevalent 平台包含 600 多个标准化 风险评估 调查问卷模板——包括 NIST、ISO 以及其他众多标准的模板——自定义调查问卷创建向导,以及可将回答与任何合规法规或框架进行映射的问卷。所有评估均基于行业标准,并涵盖与供应链合作伙伴及业务韧性安全控制相关的所有信息安全主题。

PrevalentVendor Threat Monitor(供应商威胁监控器)可持续跟踪和分析针对供应商和其他第三方的外部可观测威胁。该服务通过监测互联网和暗网的网络威胁和漏洞,将评估结果与运营、财务、法律和品牌风险研究关联起来,形成统一的风险登记册,实现集中的风险分流和响应,从而补充和验证供应商从 Prevalent 平台报告的安全控制数据。

SR-8 通知协议 利用 Prevalent 平台,您可以通过内置的版本控制、任务分配和自动审查程序,对文档、协议和认证(如 NDA、SLA、SOW 和合同)进行协作。您还可以在集中的供应商档案中管理整个供应商生命周期内的所有文档。
SR-13 供应商库存 Prevalent 提供一款 固有风险评估问卷 采用基于八项标准的明确评分机制,以识别、追踪和量化所有第三方所涉及的风险。评估标准包括:

  • 验证控件所需的内容类型
  • 对业务绩效和运营的关键性
  • 地点及相关法律或监管考虑因素
  • 对第四方的依赖程度(避免集中风险)
  • 接触过业务流程或面向客户的流程
  • 与受保护数据的交互
  • 财务状况和健康
  • 声誉

利用固有风险评估,您可以自动对供应商进行分级,设定适当的进一步尽职调查级别,并确定后续定期评估的范围。

基于规则的分层逻辑可根据一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。