利用 ISO 27001 创建可行的 TPRM KPI 和 KRI

艾什：大家先花一分钟时间拿好饮料和零食。趁这个时间，我先启动第一个投票。我们很好奇各位参加今天网络研讨会的动机——是出于学习需求？还是刚踏上TPRM之旅？抑或是喜欢听英式口音？无论哪种原因，我都不会评判。 我也超爱。那么，现在开始自我介绍环节。我是艾什，在Prevalent公司负责业务拓展。今天我们还邀请到几位特别嘉宾。首先是项目经理托马斯·汉弗莱。托马斯，近来可好？

托马斯：嗯。好。这边一切顺利。

阿什：呃，我们的解决方案工程师索菲·阿波塞卡里。索菲，最近怎么样？

索菲：我很好，谢谢你，阿什比。希望你也是。

阿什：谢谢。最后一位，在我心中同样举足轻重的，是我们自己的产品营销副总裁斯科特·朗。斯科特，近来可好？

斯科特：太好了，艾希莉。希望大家今天都过得不错。

艾什：呃，简单提醒一下，本次网络研讨会正在录制，结束后我们会尽快发送录播视频及演示文稿。 目前大家的麦克风已静音，但我们非常欢迎提问——索菲喜欢提问，托马斯也喜欢提问。请务必将问题提交至问答区，研讨会结束时会集中解答。今天托马斯和索菲将探讨如何运用ISO框架评估TPR及项目成效。现在我将把环节交给他们。

托马斯：太棒了。非常感谢你，艾希莉。各位女士、先生们，早上好/下午好/晚上好。我是托马斯·汉弗莱，欢迎参加本次聚焦ISO 2701标准的网络研讨会。 本次研讨会将结合TPRM框架，重点探讨如何通过关键绩效指标（KPI）、关键信息指标（KIS）及其他评估手段，有效制定管控措施与实施要求以确保项目成功。今天与我共同主持的是索菲。索菲，请您先做自我介绍。

索菲：是的，非常感谢你，托马斯。很高兴今天能来到这里。早上好、下午好、晚上好。我是Prevalent公司的解决方案工程师之一，与托马斯及整个团队紧密合作，致力于推进TPRM项目的开发，并在ISO 27001等领域取得成功。谢谢你，托马斯。

Thomas: Thank you very much. And myself to someies. I’ve been with PEN for 5 years. Um I was previously an ISO auditor for the best part of 10 years working across many standards not least around 27,01 um on a local and uh global level um both in in certification bodies in the UK and in Singapore. Um just a very brief bit of housekeeping. Um as Ashley’s mentioned uh as usual um with these webinars we like to save some time at at the end for for a Q&A, but obviously throughout um today where where appropriate, we’ll answer some questions as well. So, any questions that come to mind, please um uh post them into the there should be a Q&A uh chat box or or window. Um and then as as as we go through um we’ll try and answer as many as we can. So, let’s kick off looking at what we’re going to be covering today. I’ll give an overview of 27,01, paying particular attention to to some of the newer elements um since the standard was re-released for looking at how we can map standard TPRM practices um across to 27,000 and an information security management system. I’ll take a look at some of the key controls and how we can derive and identify key controls particularly if if you’re just starting out on that journey um of using 27 for the first time. I’ll then touch on um performance and risk indicators and what that can look like for your TPRM journey as well as um uh around the 27,000 standard itself. Uh before finishing with some next steps and where we can we can go from here and where how how you can take some of this and some of this information forward um when you’re either beginning your journey or if you’re already partly through um or or ongoing on a on a TPM process. So started an introduction to ISO 27. So for anyone who’s who’s unfamiliar um Um 27 is ISO’s principal standard on information security. It’s one of their older standards and also it’s most widely adopted standards. Um the the overall structure and approach of 27,0001 is to is to provide a a a framework a structured framework for an organization to identify and set some governance in place in terms of identifying risk in in terms of information security. risk and then managing that risk through a series of activities, controls, policies and processes as well. So, it’s built around a very strong core of of governance in terms of how you manage um the life cycle of information security management as well as risk and good uh risk practices and risk best practices as well. Um as say it’s internationally recognized, it’s one of the most widely adopted frameworks um and uh not too dissimilar to many of the other ISO standards. Uh one of the reasons it’s it’s so widely adopted is its universal approach. So regardless of size and complexity of organizations, regardless of industries, sectors and even geographies, um there there’s always a use case to be had for how you can build best practice around 27,000 whether it’s from a certification standpoint or purely using the standard to drive that best practice um and understanding of of a good security posture. Uh just briefly to note that there are um many other standards. We’ll be briefly touching on 27,0002 because there’s a close relationship between 27,0001 which is the certifiable standard and 27,0002 which provides those implementation guidelines on how we can apply and develop and build upon those security controls and what those controls look like um uh in practice. Um it’s always important to note that um although we’re focusing on 27,01 and2 Specifically um as is common with ISO they build what they call a family of wider standards which can sometimes be used to address sector or technology specific applications on how trend 70001 could be best used. So for example how it can be used for cloud environment and cloud provider or how secure how trend 70001 could be applied say in the healthcare sector or in the legal sector for example and so there’s quite a wider uh variety um of of of uh frameworks out there but nevertheless we’ll be dealing um very much with uh 2701 and two. So a very brief background so in 2022 uh the standard was re-released um roughly every 5 years ISO make the decision to formally review all their standards and the decision was made um that 20 uh 27,0001 was needed to be updated um and they seek to make uh updates based on new and emerging technologies where there are changes in um uh the way standards are used, the way standards are are are managed as well. And two of the biggest um outputs of this was a restructuring of the clauses. Um so for those who are perhaps less familiar, 27,000 split across two two main sections. One is the governance leadership management section of of what they call ISMS and then the second part is what they used to call annexa which is where all the technical controls organizational controls um are identified and the selection of which controls to meet the organization’s um use case and business cases. So there’s a restructuring of these clauses and they split them across what they’re called four control areas organizational people physical and technological based controls. So from an organizational con uh perspective areas in terms of uh access business continuity um uh and uh incident management and response, people in terms of background checks, uh personnel training um and on boarding. Obviously, physical controls in terms of physical protection of information systems um and then technological controls um particularly around from a data security perspective. So backup and encryption um addressing malware, addressing vulnerability and threat management. Secondly, and perhaps more interesting uh it developed these three areas it calls operational capability control types and cyber security con concepts and these are areas that I think are quite relevant particularly with regards to some of the areas we’re covering today around identifying key controls and identifying or how we can how we can use the standard from a a KPI ki perspective but broadly speaking these have been identified and are are useful in helping an organization plan for and implement the controls to address the security risks that they’ve identified through the riskmanagement process. Um, and these are attributes uh that have been developed throughout um the framework and are are are developed in more depth around 27,0002. But as we’ll see as we go along um later today um they can provide some useful indicators of trending and trend analysis and where critical controls can be identified and derived as well.

索菲：托马斯，关于这种重组模式，确实很有意思。那么您是否认为，将控制领域从两个划分为四个，会让它更适用于某些组织？您提到这种模式已被广泛采用。这种控制领域的划分方式，是否让组织更容易遵循这些标准？

托马斯：嗯，它能实现多种方式。是的。 我的意思是，正如我所说，无论你是大型软件公司、小型广告代理商、制造业企业，还是完全不同的行业。现在正在进行重组，需要注意的是，大约90%到95%的控制措施仍保留自旧的27000框架。 但确实，这些控制措施经过重组后——特别是结合运营能力等工具的应用——能帮助企业更清晰地界定：哪些要素对我们至关重要？当评估已识别的风险时，我们该如何筛选最适配的控制方案？无论是从组织治理角度还是技术层面考量。

索菲：是的，绝对没错。谢谢。

托马斯：想简单谈谈这一部分。嗯，现在这个数字确实略有上升，特别是从27,0002的角度来看。 在270101的历次版本中，始终存在关于管理第三方供应商及供应链的要求，甚至原始标准也是如此。值得注意的是，当前版本依然保留了这些要求，涵盖供应链全流程的信息安全管理——无论是识别第三方信息安全风险， 如何通过控制措施应对这些风险——特别是供应商协议与合同条款的制定，以及如何确保第三方交付符合要求。更需考量的是更广泛的供应链体系。 当涉及第四层、第五层乃至更深层的供应链环节时，存在多个组织机构。我们需重点考量如何通过第三方协议强制执行或至少核查相关安全控制措施。此外，当供应商活动与服务发生变更时，监控、审查及变更管理至关重要，包括通过绩效评估、审计（现场与远程审计）等方式持续监测绩效表现。 值得注意的是，特别在第一、二版标准中，通过270002扩展了描述范围——这与NIST 800161等框架的扩展思路相近。该网络安全供应链风险管理框架涵盖了从A到Z的全方位管理，涉及供应链及第三方基础管理。 从第三方识别到退出协议，再到供应商协议与合同的建立，整个流程都至关重要。尤其当我们回顾某些运营能力、控制类型及网络安全概念时，这一点尤为关键——因为在构建第三方关系及第三方生命周期模型时，我们同样需要思考如何应用270001标准。 这为思考提供了核心驱动力：如何将已识别的风险转化为协议层面的考量——无论是数据泄露通知与即时响应机制，还是基于第三方数据处理方式的访问控制等技术应用。这些内容基本延续了前版要求。 不过新版更着重强调供应链应用场景，并新增了针对云服务的管控措施——鉴于云服务在众多组织实体中日益普及。托马斯，我们进入这张幻灯片时，有个问答环节的问题恰好与您刚才的论述高度相关，请您快速补充说明。

索菲：这种趋势在云端更为显著，我们也有更多远程工作者。在访问管理方面，我们拥有更强的控制力或控制要求。其中一个被提出的问题是——在这个远程办公时代，物理控制措施的适用性究竟如何？当员工远程办公时，组织究竟能掌控多少？

托马斯：问得很好，非常非常及时的问题，是的，你完全正确。 过去两三年远程办公的爆发式增长，甚至让企业仍在讨论实体办公空间的必要性。新标准的有趣之处在于，他们不仅在技术层面，甚至在术语层面都进行了拓展——例如对终端用户设备及其管理方案的定义和应用场景。 新标准更注重通过控制措施保护组织资产，同时涵盖BYOD设备及远程办公/居家办公场景。需特别指出的是，ISO标准永远不会具体提及特定技术或应用，因为其普适性不受地域、国家及行业限制。 不过框架中对人员配置管理、移动设备管理等方面的接受度正在提升——正如您所言，远程办公日益普及，我们也拥有自己的系统和资产。评估中仍涉及物理安全领域，涵盖敏感资产保护、敏感工作区域防护等常见议题。 我认为更关键的是如何将现有管控措施移植到家庭环境。传统方案可能聚焦于办公室的服务器机房，显然不适用于居家办公场景。因此需要探索如何将相同理念应用于远程办公解决方案。 那么企业能否要求员工实施资产安全管控措施？比如：员工是否在公共视野可触及的区域工作？是否在门禁区域办公？此外还需关注笔记本电脑、手机和平板等设备的技术防护层面。

索菲：嗯。

托马斯：好的。

索菲：谢谢。

托马斯：嗯，接下来我们来探讨如何将这些第三方风险管理实践映射到信息安全管理体系中。从宏观层面来看，我们需要考虑几个不同维度。首先从顶层设计出发：如何识别第三方？如何通过画像分析和分层管理进行识别？ 如何依据高/中/低风险等级或关键性划分为第一/二/三级？同时需明确与第三方合作时的风险点——这正是ISO27001标准各条款发挥作用之处。具体可参考第5.1、 6.1、6.2及6.3条款，这些正是ISO定义的信息安全管理体系（ISMS）的高层级框架。这些领域聚焦于组织高层管理者的规划职能，涵盖资源识别与分配的职责划分，同时建立清晰的风险管理方法论——从风险识别、评估、记录、责任归属直至风险处置的全流程管理。 此外，第5.19条款作为安全控制措施之一（我们稍早曾简要提及信息安全与供应关系），结合上述领域可助力实现以下目标：如何识别第三方活动？组织内部是否具备必要资源以协调第三方并评估其服务水平？进而将信息安全管理体系应用于- 27,0001条款对风险管理的诠释，开始思考：若已知第三方在产品服务层面向我们提供的敏感数据信息系统，能否依据第61、612及613条款，评估机密性、完整性与可用性丧失的影响程度？这些信息领域的损失可能对我们产生影响或造成损害。 因此，既包含高层级结构性要求，也包含附件A控制措施——这些措施能协助我们梳理第三方识别流程，并厘清自身风险状况。

托马斯：那么我们需要思考如何在第三方协议中处理安全问题，同时关注供应链环节。正如前张幻灯片所示，519、20和21条款都围绕供应商协议中的这些考量展开，而27.02条款做得相当出色——它已开始就应考虑的领域提供建议。 那么我们是否需要考虑数据管理、数据泄露通知？是否需要考虑即时响应和业务连续性控制？是否需要考虑资产访问权限及合理使用等相关领域，以及在必要时涉及的物理安全措施？ 通过这三项技术控制措施，我们已能初步勾勒出制定第三方协议或合同时需关注的要点。当前阶段，我们已将第三方划分为多层级，明确了需重点关注的风险类型——无论是企业自身关切还是行业普遍担忧的风险。 我思考的是更广泛的行业视角——关于第三方及其风险的认知。企业需要思考如何评估这些第三方，而这正是从组织层面到技术层面的附件控制措施发挥作用之处。 无论是全面覆盖还是仅针对特定风险子集实施管控——这取决于第三方协议内容及我们的目标导向。例如采用ISO27001标准（无论是否进行认证），将其作为最佳实践框架构建评估体系，用于供应商审核或审计。 显然，通过这种风险管理方法，我们能识别出哪些控制措施对我们至关重要。这正是我们后续要探讨的重点：如何识别关键控制措施？哪些关键控制措施通常影响更大？或者更具体地说，当关注第三方为我们提供的服务时，哪些控制措施更值得重点考虑？

托马斯：最后，我们已进入识别第三方供应商的阶段。我们已签订正式协议，完成供应商评估，并以半年、季度或年度为周期持续进行评估。当前面临的最终课题是如何建立对这些第三方供应商的持续监控与持续审查机制。 此外，第522节或控制522条详细规定了如何以及应当如何监控第三方及更广泛的供应链。由此可见，2701标准既包含高层级结构性控制措施，也涵盖了关于第三方与供应链管理（或供应链风险管理）的更具体技术性控制措施。 简要深入探讨这三个领域，特别是涉及新概念的部分。当审视高层结构的领导力维度时，通常要求组织制定安全政策、设定目标，尤其要确保资源管理规划到位，并明确界定角色——既涵盖安全活动管理职责，也包括向高层管理人员、高级管理层及其他关键利益相关方汇报的责任链。 采用标准第5.1章所述的治理方法。 结合5.19控制措施，两者协同可助力构建供应链管理流程。该案例研究聚焦供应商监控管理机制，虽以安全政策为核心，但更广泛的供应链风险政策结合61条款构建的风险管理生命周期，能有效帮助企业识别第三方风险——无论是技术风险，还是基于行业领域等其他层面的风险。如前所述，2701标准的优势在于其详细阐述了风险标准设定流程，涵盖安全风险的识别、分析、评估及处置环节。

托马斯：嗯，特别是运用诸如可能性和影响等非常知名的方法来进行风险评分和风险评级。但同时也要深入思考如何处理这些风险，并基于整体风险评分和最关键的风险，确定我们希望采取哪些措施来缓解风险——是规避风险、接受风险，还是通过其他途径进行风险处理和风险补救。此外还需在第三方协议中解决安全问题。 正如我们所提到的，27,000条款在第三方协议考量方面提供了相当深入的指导。 在识别风险并确认第三方及服务后，我们便可着手评估最值得关注的风险点。这些风险可能源于：• 第三方操作行为• 访问数据类型• 数据分类级别或敏感度• 是否涉及敏感数据存储• 是否使用内部信息系统/基础设施• 是否存在关键风险是否存储我方数据？或是采购了可能承载敏感数据的IC ICT信息系统及基础设施？若存在此类风险，则需评估人员配置要求——包括员工数量、岗位性质，尤其需关注承包商与正式员工的混用情况。 是否需要在合同中纳入员工筛选与背景调查的相关条款？培训内容及类型是否需要调整？针对近两三年常见的钓鱼攻击与勒索软件威胁，员工应如何应对？数据资产与信息资产的合理使用规范是否需要完善？ 通过明确这些核心关切点，我们便能基于组织人员、物理环境和技术手段这四大控制领域，厘清优先级，并从涵盖这四大领域的90-94项控制措施中提炼出关键要素。

托马斯：我们是否需要全面覆盖所有内容？尤其考虑到组织结构日益复杂、第三方服务商日益多元的现状，某些情况下这或许具有现实意义——这可能取决于第三方所承担的风险等级，以及其提供的服务性质。 确实有必要从信息安全的全局视角出发，涵盖这四大控制领域。具体实施可依据第三方风险评级等级或其产品服务的性质——某些领域的重要性相对较低。例如物理控制措施——若某组织无法接触敏感信息和数据，我们是否需要过度关注其物理控制措施？特别是当该组织仍拥有办公空间或租赁办公场所时，这些物理控制措施对评估其安全态势的重要性究竟如何？ 当然，基于第三方服务性质，某些控制措施始终是强制性的。因此需要整合风险要素：明确第三方服务内容的可见度、服务类型，进而厘清：究竟哪些控制措施值得我们真正关注？我们是否需要据此评估第三方？

索菲：托马斯，关于你刚才提到的第三方评估部分，显然我们可以根据服务的关键性、类型等因素来确定评估的层级或类型。这里有个很有意思的问题：ISO重组在业务连续性和灾难恢复方面采取什么方法？哪些关键控制措施与第三方风险管理（TPRM）相关联？

托马斯：是的，这很有意思。所以框架和组织控制方面仍存在连续性。我记得在后续评级评估中提过这点，我们稍后会深入探讨。 不过确实，特别是27.02条款强调：在恢复活动方面，必须建立供应商活动与所提供服务之间的关联。但需要重点考虑与供应商建立何种层级的连续性协作关系——尤其在协议条款和强制性控制领域。 因此涉及的信息安全考量、业务连续性规划、灾难恢复方案制定及测试等议题。测试环节尤为关键——强调测试不应孤立进行，必要时需与供应商协同测试，在适当且必要的情况下建立联动机制。 因此需引入关键供应商，确保当系统故障转移或出现问题时，供应商与贵方之间存在协同应对机制。这涉及两个层面：一是贵组织自身的业务连续性管理，二是明确要求供应商说明其灾难恢复措施。

索菲：嗯。

托马斯：那您如何向我们证明这一点呢？通过测试计划，通过关键沟通节点，比如关键角色与职责划分。我指的是一个日益普遍的有趣领域——我可能之前提过，涉及合约中的数据泄露与泄露通知条款时， 第27条02款对此有明确规定，这正是典型范例——倘若供应商不幸遭遇数据泄露，我们是否通过协议条款及供应商评估机制，明确了其对泄露性质的回应方式、采取的恢复措施以及恢复正常业务运营的具体步骤？ 显然，若协议未涵盖这些条款，且我方未能建立相应机制，则风险将大幅攀升——尤其当监管机构乃至执法部门介入时。

索菲：当然。

Thomas: Finally, monitoring, review, and reevaluate. So, sending out the third party assessment of course is only the beginning. What should we be doing? Um obviously, when the results come back and this is worth touching on these three c these three aspects of operational capabilities, control types and cyber security concepts um for anyone who’s um familiar with NIST particularly um the the cyber security concepts or yeah the concepts will be um uh very familiar because these follow on um uh based on NIST and NIST CSF cyber security framework. So these five areas around identifi identify protect detect respond and recover based controls basically controls that can help organize your cyber security activities. We’re thinking out OC operational capabilities. These are attributes and this is where we find a greater volume um of of of attributes is around operational capability and one of the key purposes here is to help assessors practitioners of the framework when planning and delivering a management system and then control types. So how controls can help modify risks particularly where information security incidents occur uh and these split across preventative, detective and corrective based controls. So that is to say controls that should be in place to help prevent the occurrence of a security incident. Controls that are used to help detect vulnerabilities and weaknesses and when a security incident may occur. And then there’s corrective controls, what what is being put in place and what controls do we need to put in place post incident to to get back to usual. So again, and thinking about some of the um uh uh uh uh controls from a from a continuity perspective. Um and so we can see on the screen three examples. So from an operational capability perspective, let’s look at information protection. And so looking at the 9394 controls set out across the standard, uh there are several that are labeled with this concept of information protection. And we can see a few examples here from protection against malware, classifying information labeling information, protecting records, privacy and protection of of personal information and endpoint devices. And so because this is is is meant to be an aid to help assessor and practitioners where it can be most useful is certainly at that um at that end of the process where we’re receiving risks back from our third parties. Um and let’s say we’re receiving 30 40 50 60 risks back and we’re now at the stage of saying well how do we What do we do with these? What do we man? How do we manage these? We may have our risk scores of critical high, medium, and low or or another similar process. But if we’re already identifying capabilities that are relevant to us, for example, data security, information protection, we can then obviously group risks as well to say, well, how many risks are associated with information protection and protection based controls? Can we start to see some trending here based on the type of controls that third parties um that that we’re receiving from third parties based on their 27,000 to1 assessment or or the way they’ve carried out the assessment. Um in a similar vein um by by categorizing controls based on say preventive, detective or corrective controls and as you can see here corrective controls, instant management planning, instant response, readiness for continuity, disciplinary process where there’s been a breach of of of corporate policy and security policy um and information back up. And again, if we can start to see there’s a larger volume of risks around um um these particular controls, that may help to shape our view of how do we approach these um not necessarily in isolation, but together particularly if you’re seeing there’s there’s there’s a trend between um multiple organizations or third parties um and risks in similar similar areas. And then in terms of cyber security concepts, so controls uh used in identifying um um good practice identifying security requirements for the supplier based uh aspects threat intelligence and engaging with um um um threat intelligence based organizations and how we invent inventory our information and other assets. So it can be used at the tail end in terms of how do we manage and and and bucket our risks if you will. It’s also worth thinking about when we’re looking at identifying key controls as well. If we know that there are capabil that we’re quite concerned about. They’re important to us based on our risks based whether it may be um uh sort of threat and vulnerability management or data security or the protection of information um or other areas. This can then help make it easier to say which controls are important to us and thinking about those 94 um which ones uh can we already do we already know uh are applicable to these type of third parties. And this can then make it so much easier when we’re starting to plan Do we need to give all 94 controls to this third party, this tier one or tier 2 organization, or can we give a subset based on capabilities important to us as a business and based on some of the security concepts um that maybe over time we’re seeing are more of a concern. Um if we feel for example that there are third parties we’re concerned more about the recovery and recovery efforts, let’s look at those controls under the banner of recovery and recover in terms of cyber concepts and perhaps we can use them as focused assessments and focused audits when engaging with our third parties. So it gives a lot more capability and really opens up the framework um um to give a lot more thought around which are the controls that are right for us at this time and then when risks occur and when risks are apparent to us through the assessment and assessment results. Uh how can we categorize these um and I say are there any trends um that are coming up that perhaps for a lot of have not been aware of um that are new to us that we can pay attention to particularly when engaging with the third parties or at least explaining from an executive and top management perspective as well. So impactful key controls. So as indicated with 94 controls there are many controls that will see multiple risk scenarios and considerations for risk treatment. Um and so thinking about those um uh uh uh uh cyber security concepts, if we can start to align the risks to controls that will help protect those assets, detect threats and vulnerabilities or provide a level of response and recovery. All this can help determine what for us is key particular when we’re looking at um how we monitor and analyze um the effectiveness of control requirements. Now generally speaking um as as as stated from the beginning. You know, this is a standard that’s open to any organization in the world regardless of industry and sector. So, it can be sometimes can be quite difficult to work out are there always controls that any organization regardless of size and complexity will will will need to adhere to or are recommended. Um, in general, yes, there always can be some controls that we find um almost all organizations or 99% of organizations should have in their back pocket. So, whether it’s areas concerning good access management and access controls. Um anything to do with managing a critical information system or critical data. Naturally, you want to be concerned about are they good practices in how they manage privileged access rights and access reviews and assigning and revoking access. Data backup and data recovery. Again, anything to do with proprietary information, intellectual property, personal information, uh having clear processes to to back up and recover. Um should the un unfortunate happen. Um again, these are also controls um that we’d find most companies um will be dealing with. And of course, we’ve briefly touched on it today around continuity as well. Um regardless of whether you are um a oneperson band, a mom and pop shop um um or whether you’re a a 10,000 employee multinational organization, there will always be a need to having a level of continuity um of covery and incident response as well. Obviously, will look very different depending on the type of organization but gives you a idea that there will always be some controls um in in standards like 27,01 that we can apply across the board.

托马斯：话虽如此，我们仍需认识到，很多问题归根结底取决于我们如何发展和理解自身风险，以及第三方和供应商的风险。尤其要通过运营能力来理解——例如，哪些是他们对我们至关重要的部分？ 显然，我们越能精准把握这些要素，越能深化风险管理活动，真正厘清哪些问题令我们忧心忡忡—— 哪些问题让我们夜不能寐，这将真正有助于聚焦关键控制措施——无论是短期（未来12个月）还是长期（因这些风险具有持久性且可能永不消散），而非仅应对某些更具反应性的风险。 好的，那么关于最具影响力的关键控制措施——在考量第三方是否遵循最佳实践时，这确实是把双刃剑。部分控制措施确实存在，但很大程度上取决于第三方为贵司提供的具体服务内容。 不过如我所说，通用领域包括：访问管理、访问控制、数据备份、数据安全、业务连续性及事件响应与恢复，当然还有供应链管理。您提到的519至520至22条款涵盖的供应链管理与供应链安全控制，正是这四大核心控制领域。 我始终建议将这些作为基础控制措施，特别是供应链控制部分。这有助于厘清核心问题：我们要求第三方提供哪些服务？需要他们满足哪些要求？如何验证其服务符合我们基于产品与服务制定的良好实践标准？

斯科特：嗯，请说。

托马斯：我认为这些在相关性方面是重要的，我知道你在关注这类关键控制措施，我猜这取决于服务性质来判定哪些属于关键控制。不过我认为今天电话会议中的许多听众——尤其是那些大型组织，比如谷歌、微软、亚马逊云服务（AWS）等——对此应该会产生共鸣。通常这些大型供应商可能具备某种准备就绪证明，用于支持关键控制映射和监控。那么问题在于，是否期望这些主要供应商能提供准备就绪证明？这样他们的每个客户就不必持续进行测试了。这类全球性企业通常能提供支持关键控制映射的准备就绪证明及监控机制。那么是否期望这些大型供应商提供准备就绪证明，从而免除客户持续测试的负担？或者说该标准并非针对特定组织制定，而是适用于所有机构的通用规范？

托马斯：嗯，首先，ISO标准是任何人都可以采用的。有趣的是，当你观察某些领域时——比如亚马逊和微软，特别是它们的数据中心和云端运营。微软尤其是个好例子，多年来他们已获得多项ISO认证，而且我认为微软甚至参与了部分框架制定委员会的工作。 这些大型企业对标准重要性的认可度很高。你说的没错，这些公司通常会采用四、五、六种ISO框架体系，他们会进行SOC 2评估，遵循PCI DSS标准，还可能根据业务性质采用其他框架。因此他们普遍会推出"这是我们的网络安全控制与数据隐私控制标准包"，这种做法很普遍，我认为原因之一在于——这些企业本就面临全球范围内的多重审计，来自监管机构、客户、其他机构等各方要求。若要针对每个具体业务需求逐一响应，他们只能说"不行，我们做不到"。所以这已成为行业惯例。当然，仍有方法可确保企业至少遵循某些良好实践。 掌握其最新认证资质无疑是获得安全感的一种方式。不过认证和标准有时确实存在难点——比如你可以获取ISO证书等文件，上面会注明认证地点和适用范围。 因此当企业通过独立机构认证时，你可获得一定程度的信心——我之前提到的访问控制、数据安全、业务连续性等措施必然存在，因为这些控制措施是企业运营中不可或缺的环节。 因此，若亚马逊数据中心发生重大事故——作为云架构的一部分——您完全有理由期待他们能高效执行业务连续性与灾难恢复方案，或实现系统间数据转移。诚然，大型机构的信息获取有时颇具挑战，尤其当您试图对其进行评估时。 不过普遍现象是，多数企业确实会围绕安全概念和隐私概念制定默认声明。这些声明既有公开版本，也提供申请获取的版本。这再次印证了ISO标准的普适性——无论组织规模如何复杂，这些标准都具有广泛适用性。

斯科特：是的，绝对如此。嗯，有个快速问题：ISO 27k标准是否在某种程度上促进了风险管理与其他风险类别的整合？比如财务风险、声誉风险等等。

托马斯：嗯，除了27之外还有其他框架，其中最被公认为标准的当属ISO 31000——这是个风险管理标准，与NIST风险管理框架其实颇为相似。它的普适性在于不局限于隐私或安全领域，同样涵盖其他特定的商业与战略风险。 因此它们确实具备通用标准，尤其在需要整合时更为重要。对比ISO 27001和ISO 31000的术语体系，两者存在诸多相似之处。 事实上ISO 27001在该方面也引用了ISO 31000的框架。因此它们确实提供了一些通用的风险管理框架，可从业务战略、财务、环境或其他风险维度进行应用。

斯科特：太好了。谢谢。

托马斯：那么在27000标准涵盖的众多控制措施中，哪些更为关键？正如我所说，要具体指出确实有难度。这里列举几个示例：当涉及敏感性——即敏感关键数据被访问和处理时，我们便可思考：从框架中能运用哪些保护性控制措施？ 涉及访问控制、身份认证、数据保护（涵盖加密与DLP技术）、远程办公安全措施、远程工作环境及终端设备防护、恶意软件防御等领域。270001标准包含若干技术控制措施，覆盖上述所有概念。当我们关注敏感关键数据被第三方访问的风险时，即可依据框架中保护型控制措施的分类体系构建防护方案。 这有助于明确需要可见性与验证的环节，确保此类控制措施切实到位。同理，若关注关键信息系统的安全性及其承载内容的性质，我们既需要防护型控制措施—— 同时还需配置相应级别的恢复型控制措施。那么，这些设备如何被配置和保护？正如我们早先讨论的远程办公趋势，这一问题如今尤为关键——那些可能接触高度敏感信息的系统，如何从物理空间层面获得保护？ 这些系统的容量管理如何实施？容量管理预测、规划及阈值设定是否到位？信息备份与冗余机制如何构建？若关键信息系统发生故障，现行冗余级别如何？我们是否仍需关注传统领域——例如服务器机房、数据中心及备用数据中心？抑或冗余级别已进化至全新维度？

托马斯：嗯，不同控制措施之间自然会存在交叉，当我们思考关键信息系统时，某些控制措施可以源自对敏感或关键数据及数据管理的考量。 但这能让我们初步明确可借鉴的概念和主题方向。因此需识别保护型控制措施——即信息保护类控制措施，这些措施可逐步形成我们期望推动的核心控制措施，成为第三方必须执行的强制性要求。接下来我们推进已建立的评估标准体系。 我们正向第三方启动评估流程。那么还需考虑哪些因素？显然在制定风险指标时，必须审视更广泛的风险格局——本案例中可能涉及第三方管理及其承载的风险等级。 关键在于确保指标开发基于组织已确定需重点监控的风险领域——无论是恶意软件检测、数据泄露、泄露响应、供应链威胁、勒索软件、钓鱼攻击等关键领域。 围绕数据丢失、供应链对勒索软件的广泛脆弱性、其他定向攻击目标等关键领域，采用ISO 27001等标准进行评估，有助于构建最佳实践控制措施，从而确保第三方维持符合敏感关键数据及信息系统处理要求的良好安全态势。 在思考哪些风险对我们至关重要、哪些风险被视为最高或最值得关注时，考虑如何运用不同的ISO控制措施来获取第三方实施最佳实践的有效性、验证性和可见性，显然是实现这一声明并开始制定决策要点的关键步骤。

托马斯：关于事件日志记录、恶意软件防护、安全意识与培训、中断及信息事件期间的安全保障、应用的加密级别、供应链信息安全控制点等诸多管控措施，都能帮助应对这些风险并化解潜在威胁。 显然，供应商风险管理需覆盖6、12、18个月甚至更长时间周期。我们识别出的关键风险可能随时间演变——无论是新出现的风险、新兴风险，还是供应商群体中普遍存在的趋势，特别是那些未能建立良好安全实践或安全习惯的供应商。 通过持续追踪第三方风险的年度变化趋势——无论是风险降低还是持续存在——能为高层管理提供关键保障与可视性，确保风险得到及时管控。具体而言：首先，基于最大风险领域及关键风险指标，评估这些风险随时间推移的演变趋势，或通过审计、安全控制等手段验证其变化情况。 我们是否能证明这些风险领域正逐步降低？或者我们更有信心，即使风险发生，也有足够的控制措施来保护、检测、响应和恢复？其次，在考虑关键绩效指标并运用ISO 27001标准降低供应商风险时，需开始识别能最有效应对第三方风险的关键控制措施。 因此或许需要从更高层面审视整体供应商安全评级体系。我们已将供应商划分为不同层级与类别，并明确了最关键的风险所在。那么哪些供应商能达到可识别最高风险的阶段？需持续监测整体供应商风险评级，并追踪风险响应与解决所需的时间周期。

托马斯：因此，如果我们观察到安全评级开始下降，这意味着组织内部的安全体系正在成熟，这可以再次向高层管理人员和执行团队提供积极信号——那些高风险供应商正被妥善管理、高效管控，而存在的风险也正以适当方式得到解决。但同时也要关注其他领域。 在识别高风险供应商后，安全准备度应达到何种水平？我们能否通过可视化手段追踪：完成安全意识培训的比例？第三方基于其产品或服务所捕获的威胁检测与漏洞响应能力？业务连续性测试及即时响应的质量？ 我们通过合同协议要求第三方在发生数据泄露时及时通知。 我们能否确认其业务连续性计划是否每6个月或12个月接受管理审查与定期测试？若遭遇勒索软件或定向攻击等最坏情况，他们是否已建立预案流程？是否已明确最适宜的管控措施以保障服务、产品、系统及运营安全？ 因此我们需要思考如何识别并应用关键控制措施，将其与信息安全风险管理紧密关联。当前可采取的行动包括：一方面需着手运用ISO 27001标准（特别是其治理框架与高阶结构），以完善或建立第三方管理流程；

托马斯：因此通过这种结构化流程，我们可以确定在与第三方合作时最需关注的关键风险，识别这些风险及控制要求，并运用相关运营能力与网络安全概念来构建评估框架——这将指导我们与第三方开展的评估工作。这些评估将这些评估将决定其级别和复杂度——再次强调，以ISO 27001控制附录为指导框架。完成该环节后，需发布安全评估报告，并持续监控审查：我们设定的目标是否达成？改进是否持续？第三方供应商的安全准备度是否逐步提升？ 风险评级是否呈现下降趋势？那些传统上风险极高或备受关注的供应商，其实际安全态势正在成熟，从安全最佳实践角度看，这让我们感到更加安心。好的。在结束前，我将简短地把话筒交给斯科特。

斯科特：托马斯，非常感谢你。我深表谢意。呃，如果你能停止共享屏幕，让我来共享我的屏幕，那就太好了。在开放问答环节前，我只想和大家分享一张幻灯片。今天不想让大家久等。好的，太棒了。 好的。那么，简单来说，我不会再详细介绍Prevant的概况了，毕竟在如此精彩的网络研讨会之后，我们实在没有时间再重复这些内容。但我确实想提醒大家，我们提供了丰富的资源，帮助各位在组织中最大限度地运用ISO框架来管理第三方风险。 我们编写了详尽指南，将常见ISO控制措施与企业关键绩效指标（KPI）、关键信息指标（KIS）及相关计量体系进行映射，并帮助您厘清ISO体系中的复杂性，同时明确风险映射关系。若您需要快速指南——没错，这份30页的文档正是您的理想选择。

斯科特：若您需要快速指南来将ISO标准应用于TPRM项目，我们已为您制定了实施清单。所以，没有上限。这就是今天想和大家分享的内容。现在我将话筒交给艾希莉，她将开启提问环节。

阿什：是的。谢谢你，斯科特。呃，请务必查看ISO检查清单。我们网站上有海量优质资源。呃，聊天窗口里刚发了一份，其实是专门为你准备的，斯科特。上面写着：“主流平台如何支持这些TPRM实践的推行？以及——抱歉——与ISO或NIST框架的关联性。”

斯科特：是的，问得好。我们有一系列由托马斯及其团队构建并上传至主流平台的问卷。平台内已有超过600份问卷模板，其中若干模板专门针对ISO标准的具体章节设计。根据回答内容和设定的阈值，系统会识别特定风险，并要求上传证据以应对这些特定控制措施和问题。 通过风险映射功能，系统会生成风险评分，明确指出该供应商或合作伙伴在特定控制项中需要重点关注的领域。整个流程构成了系统框架，而报告功能则能帮助确定后续行动方案。

阿什：太棒了。托马斯、索菲、斯科特以及各位，非常感谢你们提出的所有问题。今天大家分享的信息都非常精彩。期待在你们的收件箱或未来的普瑞韦尔网络研讨会中与各位再会。祝大家周末愉快！

斯科特：大家再见。