符合 NIST SP 800-53r5 标准

A-2 (2)控制评估 | 专项评估

组织可开展专项评估，包括验证与确认、系统监控、内部威胁评估、恶意用户测试及其他形式的测试。

CA-2 (3)控制评估 | 外部组织成果的运用

组织可依赖其他（外部）组织对组织系统的控制评估。

网络安全供应链风险管理（GV.SC）：由组织利益相关方识别、建立、管理、监控并改进网络供应链风险管理流程。

Prevalent提供大量现成的第三方风险评估模板库，其中包含专门围绕NIST控制措施构建的模板。借助Prevalent平台，您可在供应商入驻时、合同续签时，或根据合作关系重大变化按需（如季度或年度）开展评估。

评估工作由中央统一管理，并依托工作流、任务管理及自动化证据审查功能，确保团队在整个合作关系生命周期内能够全面掌握第三方风险状况。

重要的是，Prevalent 包括基于风险评估结果的内置补救建议，以确保您的第三方及时、满意地处理风险，并向审计人员提供适当的证据。

在此过程中，Prevalent还持续追踪并分析针对第三方机构的外部威胁。该公司通过监测互联网及暗网中的网络威胁与漏洞，同时追踪公共及私有渠道的声誉制裁信息与财务数据，构建全面的安全防护体系。

所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告、整改及响应措施的实施流程。

Prevalent还整合第三方运营、声誉及财务数据，为网络安全发现提供背景信息，并衡量事件随时间推移产生的影响。

如有需要，您可分析SOC 2报告或ISO适用性声明，以替代供应商的风险评估。我们的服务将审查SOC 2报告中识别出的控制缺口清单，针对第三方创建风险项目，并持续追踪和报告缺陷情况。

作为您更广泛事件管理策略的一部分，Prevalent确保您的第三方事件响应计划能够快速识别、应对、报告并减轻第三方供应商安全事件的影响。 Prevalent托管服务团队配备专职专家，负责集中管理供应商；开展主动事件风险评估；对识别风险进行评分；将风险与持续网络监控情报关联分析；并代表贵组织发布修复指导。托管服务可大幅缩短以下环节所需时间：识别受网络安全事件影响的供应商、与供应商协调沟通、确保修复措施到位。

主流第三方事件响应服务的核心能力包括：

• 不断更新和可定制的事件和事故管理调查表
• 实时跟踪问卷完成进度
• 定义风险所有者，并通过自动追逐提醒，使调查如期进行
• 积极主动的供应商报告
• 每个供应商的风险评级、计数、评分和标记回复的综合视图
• 工作流程规则，根据风险对业务的潜在影响触发自动运行程序，对风险采取行动
• 为内部和外部利益相关者提供内置报告模板
• 来自内置补救建议的指导，以降低风险
• 数据和关系映射可识别组织与第三方、第四方或第 N 方之间的关系，从而直观显示信息路径并揭示风险数据

Prevalent还分析了包含全球数千家企业多年数据泄露历史的数据库——涵盖被盗数据的类型与数量、合规与监管问题，以及供应商实时数据泄露通知。

有了这些洞察力，您的团队就能更好地了解事件的范围和影响；涉及哪些数据；第三方的运营是否受到影响；以及补救措施何时完成--所有这一切都要借助专家的力量。

PM-9风险管理策略

a. 制定全面策略以管理：

1. 与组织系统运行和使用相关的、对组织运营及资产、个人、其他组织以及国家造成的安全风险；以及

2. 因个人身份信息的授权处理而导致的个人隐私风险；

b. 在整个组织范围内一致实施风险管理策略；以及

c. 根据需要审查并更新风险管理策略，以应对组织变革。

PM-30供应链风险管理策略

a. 制定全组织范围的战略，用于管理与系统、系统组件及系统服务的开发、采购、维护和处置相关的供应链风险；

b. 在整个组织范围内一致实施供应链风险管理策略；以及

c. 根据组织规定的频率或按需审查并更新供应链风险管理策略，以应对组织变革。

Prevalent助力您的组织构建全面的第三方风险管理（TPRM）或网络安全供应链风险管理（C-SCRM）计划，该计划将与您更广泛的信息安全与治理、企业风险管理及合规计划保持一致。

我们的专家将与您的团队在以下方面展开协作：

• 定义并实施 TPRM 和 C-SCRM 流程和解决方案
• 选择风险评估问卷和框架
• 根据组织的风险偏好优化计划，以应对整个第三方风险生命周期--从采购和尽职调查到终止和离职

在此过程中，我们将协助您明确：

• 明确的角色和职责（如 RACI）
• 第三方库存
• 基于组织风险承受能力的风险评分和阈值

借助Prevalent平台，您的团队能够根据不断变化的业务需求和优先级，持续评估第三方风险管理（TPRM）计划的有效性，在整个合作关系生命周期内衡量第三方供应商的关键绩效指标（KPI）和关键风险指标（KRI）。

PM 30 (1)供应链风险管理策略 | 关键或任务关键物品的供应商

识别、优先排序并评估关键或任务关键型技术、产品及服务的供应商。

普瑞瓦尔量化所有第三方固有风险。用于计算第三方固有风险以确定优先级的标准包括：

• 验证控件所需的内容类型
• 对业务绩效和运营的关键性
• 地点及相关法律或监管考虑因素
• 对第四方的依赖程度
• 接触过业务流程或面向客户的流程
• 与受保护数据的交互
• 财务状况和健康
• 声誉

通过这种固有的风险评估，您的团队可以自动对供应商进行分级；设定适当的进一步审查级别；并确定持续评估的范围。

PM-31连续监测策略

制定全组织范围的持续监控策略，并实施包含以下内容的持续监控计划：

a. 建立需监控的全组织范围指标；

b. 建立监测和评估控制措施有效性的明确频率；

c. 根据持续监控策略，对组织定义的指标进行持续监控；

d. 对控制评估和监测所产生的信息进行关联与分析；

e. 为处理控制评估和监测信息分析结果而采取的应对措施；以及

f. 向指定人员报告组织系统的安全与隐私状态。

通过Prevalent持续追踪并分析第三方面临的外部威胁。我们监控互联网及暗网中的网络威胁与漏洞，同时追踪公共及私有渠道中的声誉风险、制裁信息和财务数据。

监测来源包括

• 犯罪论坛；洋葱页面；暗网特权访问论坛；威胁情报源；泄露凭证粘贴网站——以及若干安全社区、代码仓库和漏洞数据库
• 包含全球数千家企业多年数据泄露历史的数据库

所有监控数据都与评估结果相关联，并集中在每个供应商的统一风险登记册中，从而简化了风险审查、报告、补救和应对措施。

当所有评估与监控数据整合至中央风险登记簿后，Prevalent将依据可能性与影响模型实施风险评分与优先级排序。该模型将风险归入矩阵框架，使您能清晰识别影响最大的风险，从而针对这些风险优先部署整改措施。

然后，您可以指派责任人，并追踪风险与整改措施，直至达到业务可接受的水平。

RA-1政策与程序
制定、记录并发布：

1. 一项风险评估政策，该政策应：

(a) 涉及目的、范围、角色、职责、管理层承诺、组织实体间的协调以及合规性；

(b) 符合适用法律、行政命令、指令、法规、政策、标准和指南；以及

2. 促进风险评估政策及相关风险评估控制措施实施的程序；

b. 指定一名官员负责管理风险评估政策和程序的制定、记录及传播工作；

c. 审查并更新现行风险评估：

1. 政策与
2. 程序。

见PM-9风险管理战略

RA-2 (1)安全分类 | 影响级别优先级排序

对组织系统进行影响层级优先级排序，以获得系统影响层级的更精细化信息。

参见PM 30 (1)供应链风险管理策略 | 关键或任务关键物品供应商

RA-3 (1)风险评估 | 供应链风险评估

(a) 评估与系统、组件和服务相关的供应链风险；以及

(b) 当相关供应链发生重大变更时，或当系统、运行环境或其他条件的变化可能需要调整供应链时，应更新供应链风险评估。

主流的第三方风险管理平台包含大量预构建的第三方风险评估模板库——其中包括专门围绕NIST控制措施构建的模板。评估可在供应商入驻时、合同续签时或根据重大变更情况按所需频率（如季度或年度）进行。

评估工作由中央统一管理，并依托工作流、任务管理及自动化证据审查功能，确保团队在整个合作关系生命周期内能够全面掌握第三方风险状况。

重要的是，Prevalent 包括基于风险评估结果的内置补救建议，以确保您的第三方及时、满意地处理风险，并向审计人员提供适当的证据。

RA-3 (2)风险评估 | 全源情报的使用

运用全源情报协助风险分析。

RA-3 (3)风险评估 | 动态威胁感知

持续评估当前网络威胁态势。

RA-3 (4)风险评估 | 预测性网络分析

运用先进的自动化和分析能力来预测和识别风险。

RA-7风险应对

根据组织的风险承受能力，对安全与隐私评估、监控及审计的结果作出响应。

借助Prevalent，您可以持续追踪并分析第三方面临的外部威胁。为此，我们监控互联网和暗网中的网络威胁与漏洞，同时追踪公共及私有渠道的声誉、制裁和财务信息。

监测来源包括

• 犯罪论坛；洋葱页面；暗网特权访问论坛；威胁情报源；泄露凭证粘贴网站——以及若干安全社区、代码仓库和漏洞数据库
• 包含全球数千家企业多年数据泄露历史的数据库

所有监控数据都与评估结果相关联，并集中在每个供应商的统一风险登记册中，从而简化了风险审查、报告、补救和应对措施。

当所有评估与监控数据整合至中央风险登记簿后，Prevalent将依据可能性与影响模型实施风险评分与优先级排序。该模型将风险归入矩阵框架，使您能清晰识别影响最大的风险，从而针对这些风险优先部署整改措施。

最后，在平台中指派责任人，并追踪风险与整改措施，直至达到企业可接受的水平。

RA-9临界性分析

通过在系统开发生命周期的规定决策点进行关键性分析，识别关键系统组件和功能。

参见PM 30 (1)供应链风险管理策略 | 关键或任务关键物品供应商

SR-1政策与程序

开发、记录和传播：

1. 一项供应链风险管理政策，该政策应：

(a) 涉及目的、范围、角色、职责、管理层承诺、组织实体间的协调以及合规性；

(b) 符合适用法律、行政命令、指令、法规、政策、标准和指南；以及

2. 促进供应链风险管理政策及相关供应链风险管理控制措施实施的程序；

b. 指定一名官员负责管理供应链风险管理政策和程序的制定、记录及传播工作；以及

c. 审查并更新现行供应链风险管理：

1. 政策与
2. 程序

见PM-9风险管理战略

SR-2供应链风险管理计划

a.制定计划，管理与系统、系统组件或系统服务的研发、设计、制造、采购、交付、集成、运营和维护以及处置相关的供应链风险

b.根据需要审查和更新供应链风险管理计划，以应对威胁、组织或环境变化；以及

c.保护供应链风险管理计划，防止未经授权的披露和修改。

见PM-9风险管理战略

SR-3供应链管控与流程

a. 与供应链人员协同建立流程，以识别并解决供应链要素及流程中的薄弱环节或缺陷；

*b. 采用以下控制措施，以防范系统、系统组件或系统服务面临的供应链风险，并限制供应链相关事件造成的损害或后果；以及

c.在供应链风险管理计划中记录所选定并实施的供应链流程与控制措施。*

见PM-9风险管理战略

SR-4 (4)原产地 | 供应链完整性 - 血统

通过验证关键或任务必要技术、产品和服务的内部构成和来源，实施控制和分析，确保系统和系统组件的完整性。

作为尽职调查流程的一部分，Prevalent 支持供应商为其软件产品提供最新的软件物料清单（SBOM）。这有助于您识别可能影响组织安全与合规性的潜在漏洞或许可问题。

SR-5采购战略、工具和方法

采用采购战略、合同工具和采购方法来防范、识别和降低供应链风险。

Prevalent使您的团队能够通过单一解决方案集中管理并自动化处理提案请求（RFP）和信息请求（RFI）的分发、比较及管理，该方案支持对关键属性进行对比分析。

随着所有服务提供商正被集中管理并接受审查，普瑞维兰平台创建了全面的供应商档案，其中包含对供应商人口统计信息、第四方技术、ESG评分、近期业务与声誉洞察、数据泄露历史以及近期财务表现的深入分析。

此级别的尽职调查为供应商选择决策提供了更全面的背景信息。

SR-6供应商评估与审查

评估和审查与供应商或承包商及其提供的系统、系统组件或系统服务有关的供应链相关风险。

参见RA-3 (1)风险评估 | 供应链风险评估

SR-8通知协议

与参与系统、系统组件或系统服务供应链的实体制定协议和程序，以通报供应链受损情况以及评估或审计结果。

Prevalent 使您的团队能够集中管理供应商合同的分发、讨论、归档和审查，从而实现合同生命周期的自动化管理，并确保关键条款得到严格执行。

主要功能包括

• 集中跟踪所有合同和合同属性，如类型、关键日期、价值、提醒和状态，并提供基于角色的自定义视图
• 工作流程功能（基于用户或合同类型），实现合同管理生命周期自动化
• 自动提醒和逾期通知，以简化合同审查
• 集中合同讨论和意见跟踪
• 合同和文件存储，具有基于角色的权限，并对所有访问进行审计跟踪
• 支持离线合同和文件编辑的版本控制跟踪
• 基于角色的权限，可分配职责、访问合同和读/写/修改访问权限

有了这种能力，您就可以确保在供应商合同中明确规定责任和审计权条款，并相应跟踪和管理 SLA。

SR-13供应商库存

建立、记录并维护供应商清单，该清单需：
1. 准确且精简地反映可能对供应链构成网络安全风险的一级供应商；
2. 其细分程度足以满足关键性评估、供应链风险追踪及报告需求；
3. 为每家一级供应商（如总承包商）记录以下信息：审查并更新供应商清单。
i. 采购工具（即合同、任务或交货单）的唯一标识；
ii. 所供产品和/或服务的描述；
iii. 使用该供应商产品和/或服务的项目、计划和/或系统；以及
iv. 根据项目、计划及/或系统（或系统组件）重要性确定的对应关键性等级。
b. 审查并更新供应商清单。

主流的供应商风险管理平台将所有供应商信息整合至单一供应商档案中，确保所有与供应商合作的部门均基于统一信息开展工作，从而提升透明度并优化决策过程。

通过电子表格模板或与现有采购解决方案的 API 连接导入供应商，从而消除容易出错的手动流程。

通过集中化、可定制的接收表单和相关工作流程填充关键供应商详细信息。每个人都可以通过电子邮件邀请获得这些信息，无需任何培训或解决方案专业知识。

借助Prevalent平台，您可创建全面的供应商档案，用于比较和监控供应商的人口统计特征、地理位置、第四方技术以及近期运营洞察。通过积累这些数据，您将能够针对地理和技术集中风险进行特别报告并采取应对措施。