NIST 和第三方风险管理
美国国家标准与技术研究院(NIST)是美国商务部下属的一个联邦机构。NIST 的职责包括为联邦机构制定计算机和信息技术相关标准和指南。由于 NIST 发布并维护适用于任何公司的网络安全风险管理关键资源,因此许多私营部门组织都将遵守这些标准和指南视为重中之重。
一些 NIST 特别出版物有具体的控制措施,要求组织建立和实施识别、评估和管理供应链风险的流程。这些 NIST 特别出版物包括
- SP 800-53 Rev. 5:信息系统和组织的安全与隐私控制
- SP 800-161 Rev. 1:系统和组织的网络安全供应链风险管理实践
- 网络安全框架 v2.0
由于 NIST 准则是相辅相成的,因此组织可以在一个专门出版物上实现标准化,并与其他出版物进行交叉映射,这实际上是在使用一个框架来满足多项要求。Prevalent 第三方风险管理平台可用于满足 NIST 对加强供应链安全的要求。
相关要求
- 评估安全控制措施是否正确实施、按预期运行并符合要求
- 确定对供应商的网络安全要求
- 向供应商说明如何核实和验证网络安全要求
- 持续监控安全控制,以确定其有效性
- 通过正式协议(如合同)颁布网络安全要求
- 通过评估方法验证网络安全要求是否得到满足
NIST SP 800-53r5 和 SP 800-161r1 TPRM 控制交叉映射
以下汇总表将 Prevalent 第三方风险管理平台的可用功能与 SP 800-53 中的第三方、供应商或供货商控制措施进行了映射,并与 SP 800-161 进行了交叉映射。
SP 800-53 r5 控制编号与 SP 800-161r1 的交叉映射
我们如何提供帮助
SP 800 53 控制与 SP 800-161 重叠
- CA-2 (1) 控制评估|专门评估
- CA-2 (3) 控制评估|利用外部组织的结果
Prevalent 第三方风险管理平台包括 100 多个标准化风险评估调查模板(包括 NIST、ISO 和其他许多模板)、一个自定义调查创建向导,以及一个可将回复自动映射到任何合规法规或框架的问卷。所有评估均以行业标准为基础,涉及与供应链合作伙伴安全控制相关的所有信息安全主题。
Prevalent Vendor Threat Monitor (VTM)可持续跟踪和分析供应商和其他第三方面临的外部可观测威胁。该服务通过监测互联网和暗网的网络威胁和漏洞,补充和验证来自 Prevalent 平台的供应商报告的安全控制数据。它还将评估结果与运营、财务、法律和品牌风险研究关联起来,形成统一的风险登记册,实现集中的风险分流和响应。
借助 Prevalent 平台,您可以高效地与供应商沟通并协调修复工作。捕获并审核对话;记录预计完成日期;根据逐个回答接受或拒绝提交的文件;根据风险、文件或实体分配任务;将文件和证据与风险相匹配。
SP 800 53 控制与 SP 800-161 重叠
- CA-7 (3) 持续监测与趋势分析
Prevalent VTM 通过监控 1,500 多个犯罪论坛、数千个洋葱页面、80 多个暗网特殊访问论坛、65 多个威胁源和 50 多个用于查找泄漏凭证的粘贴网站,以及多个安全社区、代码库和漏洞数据库,揭示了 55 万家主动跟踪公司的第三方网络事件。
然后,Prevalent 对来自多个输入的信息进行规范化、关联和分析,包括来自 Prevalent Vendor Threat Monitor 和 BitSight 的由内而外的风险评估和由外而内的监控。这一统一模型可提供背景、量化、管理和修复支持。
SP 800 53 控制与 SP 800-161 重叠
- CP-2 (3) 应急计划|与外部服务供应商协调
Prevalent 第三方事件响应服务通过集中管理供应商、主动进行事件评估、对已识别的风险进行评分以及获取补救指导,使您能够快速识别并减轻供应链漏洞的影响。
Prevalent 平台包含统一的功能,用于评估、分析和解决供应商业务复原计划中的薄弱环节。这使您能够积极主动地与供应商社区合作,为大流行病、环境灾难和其他潜在危机做好准备。
除了促进基于内部控制的自动定期评估外,Prevalent 平台还提供网络安全、业务、声誉和财务监控--持续评估第三方,以发现可能被网络犯罪分子利用的潜在薄弱环节。
所有风险情报都在一个风险登记册中集中、关联和分析,该登记册可自动报告和响应,并具有基于事件可能性及其影响的灵活加权评分模型。
SP 800 53 控制与 SP 800-161 重叠
- IR-4 (3) 事件处理|供应链协调
Prevalent 第三方事件响应服务通过集中管理供应商、主动进行事件评估、对已识别的风险进行评分以及获取补救指导,使您能够快速识别并减轻供应链漏洞的影响。
Prevalent 平台包含统一的功能,用于评估、分析和解决供应商业务复原计划中的薄弱环节。这使您能够积极主动地与供应商社区合作,为大流行病、环境灾难和其他潜在危机做好准备。
除了促进基于内部控制的自动定期评估外,Prevalent 平台还提供网络安全、业务、声誉和财务监控--持续评估第三方,以发现可能被网络犯罪分子利用的潜在薄弱环节。
所有风险情报都在一个风险登记册中集中、关联和分析,该登记册可自动报告和响应,并具有基于事件可能性及其影响的灵活加权评分模型。
SP 800 53 控制与 SP 800-161 重叠
- IR-5 事件监测
Prevalent Contract Essentials 是一个 SaaS 解决方案,可集中分发、讨论、保留和审查供应商合同。它还包括工作流功能,可自动完成从入驻到离职的合同生命周期。有了 Contract Essentials,您的采购和法律团队就有了单一的解决方案,可确保关键合同条款到位,并对服务水平和响应时间进行管理。
SP 800 53 控制与 SP 800-161 重叠
- IR-6 (1) 事故报告|供应链协调
Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。
SP 800 53 控制与 SP 800-161 重叠
- IR-8 事件响应计划
Prevalent 第三方事件响应服务通过集中管理供应商、进行事件评估、对已识别的风险进行评分以及获取补救指导,使您能够快速识别并减轻供应链违规事件的影响。事件响应服务为董事会和高管就供应链事件的影响提出问题做好充分准备,并向审计师和监管机构证明您的第三方违规响应计划奠定了基础。
SP 800 53 控制与 SP 800-161 重叠
- PM-16 威胁意识计划
Prevalent VTM 通过监控 1,500 多个犯罪论坛、数千个洋葱页面、80 多个暗网特殊访问论坛、65 多个威胁源和 50 多个用于查找泄漏凭证的粘贴网站,以及多个安全社区、代码库和漏洞数据库,揭示了 55 万家主动跟踪公司的第三方网络事件。
然后,Prevalent 对来自多个输入的信息进行规范化、关联和分析,包括来自 Prevalent Vendor Threat Monitor 和 BitSight 的由内而外的风险评估和由外而内的监控。这一统一模型可提供背景、量化、管理和修复支持。
Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。
SP 800 53 控制与 SP 800-161 重叠
- PM-31 持续监测战略
Prevalent VTM 通过监控 1,500 多个犯罪论坛、数千个洋葱页面、80 多个暗网特殊访问论坛、65 多个威胁源和 50 多个用于查找泄漏凭证的粘贴网站,以及多个安全社区、代码库和漏洞数据库,揭示了 55 万家主动跟踪公司的第三方网络事件。
然后,Prevalent 对来自多个输入的信息进行规范化、关联和分析,包括来自 Prevalent Vendor Threat Monitor 和 BitSight 的由内而外的风险评估和由外而内的监控。这一统一模型可提供背景、量化、管理和修复支持。
Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。
SP 800 53 控制与 SP 800-161 重叠
- RA-1 政策和程序
Prevalent 平台包括 100 多个标准化风险评估调查模板(包括 NIST、ISO 和其他许多模板)、一个自定义调查创建向导,以及一个可将回复映射到任何合规法规或框架的问卷。所有评估均以行业标准为基础,涉及与供应链合作伙伴安全控制相关的所有信息安全主题。
利用 Prevalent 平台,您可以在调查完成后自动生成风险登记册,确保可在集中式实时报告仪表板中查看整个风险概况(或特定角色版本),并可下载和导出报告以确定合规状态。这样可以过滤掉不必要的噪音,将可能存在问题的区域归零,提供可视性和趋势,以衡量计划的有效性。然后,您可以采取可行的措施,通过内置的补救建议和指导来降低供应商风险。
SP 800 53 控制与 SP 800-161 重叠
- RA-3 风险评估
见PM-9风险管理战略
SR-2供应链风险管理计划
a.制定计划,管理与系统、系统组件或系统服务的研发、设计、制造、采购、交付、集成、运营和维护以及处置相关的供应链风险
b.根据需要审查和更新供应链风险管理计划,以应对威胁、组织或环境变化;以及
c.保护供应链风险管理计划,防止未经授权的披露和修改。
Prevalent 平台包括 100 多个标准化风险评估调查模板(包括 NIST、ISO 和其他许多模板)、一个自定义调查创建向导,以及一个可将回复映射到任何合规法规或框架的问卷。所有评估均以行业标准为基础,涉及与供应链合作伙伴安全控制相关的所有信息安全主题。Prevalent 为安全、隐私和风险管理专业人士提供了一个自动化平台,用于管理供应商风险评估流程,并确定供应商是否符合 IT 安全、法规和数据隐私要求。
除了促进基于内部控制的自动定期评估外,Prevalent 平台还提供网络安全、业务、声誉和财务监控--持续评估第三方,以发现可能被网络犯罪分子利用的潜在薄弱环节。
Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。
SP 800 53 控制与 SP 800-161 重叠
- RA-7 风险应对
见PM-9风险管理战略
SR-4 (4)原产地 | 供应链完整性 - 血统
通过验证关键或任务必要技术、产品和服务的内部构成和来源,实施控制和分析,确保系统和系统组件的完整性。
Prevalent 平台具有内置指导功能,可将控制失效或其他已识别的风险补救至组织可接受的水平。Prevalent 还能让风险评估人员与第三方就补救措施进行沟通,记录对话和更新内容,并将支持性控制文件存储在一个集中的存储库中。
SR-5采购战略、工具和方法
采用采购战略、合同工具和采购方法来防范、识别和降低供应链风险。
Prevalent 提供固有风险评估问卷,根据八项标准进行明确评分,以捕捉、跟踪和量化所有第三方的风险。评估标准包括
- 验证控件所需的内容类型
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度(避免集中风险)
- 接触操作或面向客户的流程
*与受保护数据交互 - 财务状况和健康
- 声誉
利用固有风险评估,您可以自动对供应商进行分级,设定适当的进一步尽职调查级别,并确定后续定期评估的范围。
基于规则的分层逻辑可根据一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。
SP 800 53 控制与 SP 800-161 重叠
- SA-4 (3) 采购流程|控制的持续监控计划
除了促进基于内部控制的自动定期评估外,Prevalent 平台还提供网络安全、业务、声誉和财务监控--持续评估第三方,以发现可能被网络犯罪分子利用的潜在薄弱环节。
Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。
SP 800 53 控制与 SP 800-161 重叠
- SI-4 (1) 系统监控|综合态势感知
Prevalent VTM 可持续跟踪和分析供应商和其他第三方面临的外部可观测威胁。该服务通过监测互联网和暗网的网络威胁和漏洞,将评估结果与运营、财务、法律和品牌风险研究关联起来,形成统一的风险登记册,实现集中的风险分流和响应,从而补充和验证来自 Prevalent 平台的供应商报告的安全控制数据。
Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。
SP 800 53 控制与 SP 800-161 重叠
- SI-5 安全警报、通知和指令
Prevalent VTM 可持续跟踪和分析供应商和其他第三方面临的外部可观测威胁。该服务通过监测互联网和暗网的网络威胁和漏洞,将评估结果与运营、财务、法律和品牌风险研究关联起来,形成统一的风险登记册,实现集中的风险分流和响应,从而补充和验证来自 Prevalent 平台的供应商报告的安全控制数据。
Prevalent 平台中的所有风险情报都集中在一个风险登记册中进行关联和分析,该登记册可自动进行报告和响应,并具有基于事件发生可能性及其影响的灵活加权评分模型。
SP 800-53 r5 供应链风险管理 (SR) 控制
下表包括 SP 800-53 r5 供应链风险管理控制的摘录以及 Prevalent 平台如何满足这些要求。如需完整的映射,请下载完整的NIST 指南。
SP 800-53 r5 供应链风险管理 (SR) 控制
我们如何提供帮助
SR-1 政策和程序
Prevalent 计划设计服务可确定并记录您的第三方风险管理计划。您将获得一份明确的计划,该计划既能满足您的特定需求,又能纳入端到端 TPRM 的最佳实践。
SR-2 供应链风险管理计划
Prevalent 计划优化服务可帮助您不断改进 Prevalent 平台部署,确保您的 TPRM 计划保持所需的灵活性和敏捷性,以满足不断变化的业务和监管要求。
SR-3 供应链控制和流程
Prevalent 计划设计服务可确定并记录您的第三方风险管理计划。您将获得一份明确的计划,该计划既能满足您的特定需求,又能纳入端到端 TPRM 的最佳实践。
SR-5 采购战略、工具和方法
Prevalent 可帮助采购团队降低供应商选择过程中的成本、复杂性和风险。我们的RFx Essentials解决方案可集中分发、比较和管理 RFP 和 RFI。它还能通过人口统计、第四方和环境、社会和公司治理评分,以及可选的业务、声誉和财务风险洞察,帮助您提前发现潜在的供应商风险。因此,您能够迈出重要的第一步,解决第三方生命周期中的风险问题。
一旦完成供应商选择,PrevalentContract Essentials将集中分发、讨论、保留和审查供应商合同。它还包括工作流功能,可自动完成从入驻到离职的合同生命周期。有了 Contract Essentials,采购和法律团队就有了管理供应商合同、简化管理和审查、降低成本和风险的单一解决方案。
SR-6 供应商评估和审查
Prevalent 平台包括 600 多个标准化风险评估调查模板(包括 NIST、ISO 和其他许多模板)、一个自定义调查创建向导,以及一个可将回复映射到任何合规法规或框架的问卷。所有评估均以行业标准为基础,涉及与供应链合作伙伴和业务弹性安全控制相关的所有信息安全主题。
PrevalentVendor Threat Monitor(供应商威胁监控器)可持续跟踪和分析针对供应商和其他第三方的外部可观测威胁。该服务通过监测互联网和暗网的网络威胁和漏洞,将评估结果与运营、财务、法律和品牌风险研究关联起来,形成统一的风险登记册,实现集中的风险分流和响应,从而补充和验证供应商从 Prevalent 平台报告的安全控制数据。
SR-8 通知协议
利用 Prevalent 平台,您可以通过内置的版本控制、任务分配和自动审查程序,对文档、协议和认证(如 NDA、SLA、SOW 和合同)进行协作。您还可以在集中的供应商档案中管理整个供应商生命周期内的所有文档。
SR-13 供应商库存
Prevalent 提供固有风险评估问卷,根据八项标准进行明确评分,以捕捉、跟踪和量化所有第三方的风险。评估标准包括
- 验证控件所需的内容类型
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度(避免集中风险)
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
利用固有风险评估,您可以自动对供应商进行分级,设定适当的进一步尽职调查级别,并确定后续定期评估的范围。
基于规则的分层逻辑可根据一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。
NIST 网络安全框架 (CSF) v2.0 和第三方风险管理
下表列出了《网络安全框架》v2.0 中 "治理功能 "中针对供应链的控制措施,以及 Prevalent 如何帮助解决这些问题。如需全面了解该框架,请下载完整的 NIST CSF。
功能、类别和子类别
最佳做法
管理(GV):制定、传达和监督组织的网络安全风险管理战略、预期和政策
网络安全供应链风险管理(GV.SC):组织利益相关方识别、建立、管理、监控和改进网络供应链风险管理流程
GV.SC-01:建立网络安全供应链风险管理计划、战略、目标、政策和流程,并得到组织利益相关方的同意
建立全面的第三方风险管理(TPRM)或网络安全供应链风险管理(C-SCRM)计划,与更广泛的信息安全和治理、企业风险管理和合规计划保持一致。
GV.SC-02:在内部和外部确立、沟通和协调供应商、客户和合作伙伴的网络安全角色和责任
GV.SC-03:将网络安全供应链风险管理纳入网络安全和企业风险管理、风险评估和改进流程
建立全面的第三方风险管理(TPRM)或网络安全供应链风险管理(C-SCRM)计划,与更广泛的信息安全和治理、企业风险管理和合规计划保持一致。
寻找专家与团队合作:
- 定义并实施 TPRM 和 C-SCRM 流程和解决方案
- 选择风险评估问卷和框架
- 根据组织的风险偏好优化计划,以应对整个第三方风险生命周期--从采购和尽职调查到终止和离职
作为这一过程的一部分,您应该确定:
- 明确的角色和职责(如 RACI)
- 第三方库存
- 基于组织风险承受能力的风险评分和阈值
- 事件响应的关键风险指标 (KRI)、关键绩效指标 (KPI)和服务水平
GV.SC-04:了解供应商,并根据重要性确定优先次序
将第三方库存集中到软件解决方案中。然后,量化所有第三方的固有风险。用于计算第三方优先级固有风险的标准应包括:
- 验证控件所需的内容类型
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
通过这种固有的风险评估,您的团队可以自动对供应商进行分级;设定适当的进一步审查级别;并确定持续评估的范围。
基于规则的分层逻辑应能利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。
GV.SC-05:制定应对供应链中网络安全风险的要求,确定其优先次序,并将其纳入与供应商和其他相关第三方的合同和其他类型的协议中
集中分发、讨论、保留和审查供应商合同,实现合同生命周期自动化,确保关键条款得到执行。主要功能应包括
- 集中跟踪所有合同和合同属性,如类型、关键日期、价值、提醒和状态,并提供基于角色的定制视图
- 工作流程功能(基于用户或合同类型),实现合同管理生命周期自动化
- 自动提醒和逾期通知,以简化合同审查
- 集中合同讨论和意见跟踪
- 合同和文件存储,具有基于角色的权限,并对所有访问进行审计跟踪
- 支持离线合同和文件编辑的版本控制跟踪
- 基于角色的权限,可分配职责、访问合同和读/写/修改访问权限
有了这种能力,您就可以确保在供应商合同中明确规定责任和审计权条款,并相应跟踪和管理 SLA。
GV.SC-06:在与供应商或其他第三方建立正式关系之前进行规划和尽职调查,以降低风险
在单一解决方案中集中并自动分发、比较和管理招标书(RFP)和信息征询书(RFI),并对关键属性进行比较。
在对所有服务提供商进行集中管理和审查时,团队应创建全面的供应商档案,其中包含对供应商人口信息、第四方技术、ESG 分数、近期业务和声誉洞察、数据泄露历史以及近期财务业绩的深入了解。
这种程度的尽职调查为供应商选择决策提供了更多的背景资料。
GV.SC-07:在整个关系过程中,了解、记录、优先考虑、评估、应对和监控供应商、其产品和服务以及其他第三方带来的风险
寻找具有大型预建第三方风险评估模板库的解决方案。评估应在入职、合同续签时进行,或根据重大变化以任何规定的频率(如每季度或每年)进行。
评估应集中管理,并以工作流、任务管理和自动证据审查功能为后盾,以确保您的团队在整个关系生命周期中对第三方风险具有可见性。
重要的是,TPRM 解决方案应包括基于风险评估结果的内置补救建议,以确保您的第三方及时、令人满意地处理风险,并能向审计人员提供适当的证据。
作为这一过程的一部分,持续跟踪和分析第三方面临的外部威胁。监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和财务信息的公共和私人来源。
所有监测数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。
确保纳入第三方运营、声誉和财务数据,以增加网络调查结果的背景,并衡量事件随着时间推移产生的影响。
GV.SC-08:将相关供应商和其他第三方纳入事件规划、响应和恢复活动中
作为更广泛的事件管理策略的一部分,确保您的第三方事件响应计划能够让您的团队快速识别、响应、报告和减轻第三方供应商安全事件的影响。
寻找托管服务,由专门的专家集中管理您的供应商;进行主动事件风险评估;对已识别的风险进行评分;将风险与持续的网络监控情报相关联;并发布补救指导。托管服务可大大缩短识别受网络安全事件影响的供应商并确保补救措施到位所需的时间。
第三方事件响应服务的主要功能应包括
- 不断更新和可定制的事件和事故管理调查表
- 实时跟踪问卷完成进度
- 定义风险所有者,并通过自动追逐提醒,使调查如期进行
- 积极主动的供应商报告
- 每个供应商的风险评级、计数、评分和标记回复的综合视图
- 工作流程规则,根据风险对业务的潜在影响触发自动运行程序,对风险采取行动
- 为内部和外部利益相关者提供内置报告模板
- 来自内置补救建议的指导,以降低风险
- 数据和关系映射可识别组织与第三方、第四方或第 N 方之间的关系,从而直观显示信息路径并揭示风险数据
此外,还可考虑利用包含全球数千家公司数年数据泄露历史记录的数据库,包括被盗数据的类型和数量、合规性和监管问题,以及实时供应商数据泄露通知。
有了这些洞察力,您的团队就能更好地了解事件的范围和影响;涉及哪些数据;第三方的运营是否受到影响;以及补救措施何时完成--所有这一切都要借助专家的力量。
GV.SC-10:网络安全供应链风险管理计划包括有关缔结伙伴关系或服务协议后发生的活动的规定
以 GV.SC-05 推荐的最佳实践为基础,自动化合同评估和离职程序,以降低贵组织的合同后风险。
- 安排审查合同的任务,确保履行所有义务
- 发布合同评估,以评估状态
- 利用调查和工作流程报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。
- 集中存储和管理文件与认证,如 NDA、SLA、SOW 和合同
- 分析文件以确认关键标准得到满足
- 采取可行步骤,通过补救建议和指导降低供应商风险。
- 通过将评估结果自动映射到法规和框架,可视化并满足合规要求
