互联网安全中心 (CIS) 关键安全控制合规性

随着所有服务供应商逐步集中化，团队可创建全面的供应商档案，其中包含供应商的人口统计信息、第四方技术、ESG评分、近期业务与声誉洞察、数据泄露历史以及最新财务表现等关键信息。

我们的专家与您的团队合作，共同定义和实施 TPRM 流程和解决方案；选择风险评估问卷和框架；优化您的计划，以应对从采购和尽职调查到终止和离职的整个第三方风险生命周期。

作为这一过程的一部分，Prevalent 可以帮助您确定：

• 明确的角色和职责（如 RACI）
• 第三方库存
• 供应商分类与分级
• 基于组织风险承受能力的风险评分和阈值
• 基于第三方关键性的评估和监测方法
• 第四方映射
• 持续监控数据的来源（网络、业务、声誉、财务）
• 关键绩效指标（KPI）和关键风险指标（KRI）
• 管理保护数据的政策、标准、系统和流程
• 针对服务水平的合规性和合同报告要求
• 事件响应要求
• 风险和内部利益攸关方报告
• 风险缓解和补救战略

• 验证控件所需的内容类型
• 对业务绩效和运营的关键性
• 地点及相关法律或监管考虑因素
• 对第四方的依赖程度（避免集中风险）
• 接触过业务流程或面向客户的流程
• 与受保护数据的交互
• 财务状况和健康
• 声誉

基于此内在风险评估，您的团队可自动对供应商进行分类分级；设定适当的后续尽职调查层级；并确定持续评估的范围。
基于规则的分级逻辑通过综合考量数据交互、财务状况、监管合规及声誉风险等多维度因素，实现供应商分类管理。

主要功能包括

• 集中跟踪所有合同和合同属性，如类型、关键日期、价值、提醒和状态，并提供基于角色的定制视图
• 工作流程功能（基于用户或合同类型），实现合同管理生命周期自动化
• 自动提醒和逾期通知，以简化合同审查
• 集中合同讨论和意见跟踪
• 合同和文件存储，具有基于角色的权限，并对所有访问进行审计跟踪
• 支持离线合同和文件编辑的版本控制跟踪
• 基于角色的权限，可分配职责、访问合同和读/写/修改访问权限

该解决方案拥有750多项标准化评估工具库（包括PCI评估），具备定制化能力，并内置工作流与补救措施，可实现从调查收集与分析到风险评级与报告的全流程自动化。

借助Prevalent平台，您可轻松收集并关联各类供应商管控措施的情报，根据第三方固有风险评估确定的关键性，从而识别信息管理面临的威胁。

评估与持续监控的结果汇集于单一风险登记册，通过热力图报告依据风险发生概率与影响程度进行量化分类。借助此洞察，团队可清晰预见风险后果，并为第三方提供现成的补救建议以有效降低风险。

对于提交SOC 2报告而非完整供应商风险评估的第三方，Prevalent将审查SOC 2报告中识别出的控制缺口清单，在平台内针对该第三方创建风险项，并对缺陷进行跟踪与报告。

监测来源包括

• 1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司
• 包含全球数千家公司 10 多年数据泄露历史的数据库

由于并非所有威胁都是直接的网络攻击，Prevalent还整合了以下来源的数据，为网络安全发现结果提供背景信息：

• 550,000 个公共和私人声誉信息来源，包括并购活动、商业新闻、负面新闻、监管和法律信息、运营更新等
• 由 200 万家企业组成的全球网络，5 年来的组织变革和财务业绩，包括营业额、损益、股东资金等。
• 30,000 个全球新闻来源
• 一个包含 180 多万名政治公众人物档案的数据库
• 全球制裁名单以及 1,000 多份全球执行名单和法院文件

所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告及响应措施。

• 安排审查合同的任务，确保履行所有义务。发布可定制的合同评估，以评估状态。
• 利用可定制的调查和工作流程，报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。
• 集中存储和管理文件与认证，如 NDA、SLA、SOW 和合同。利用基于 AWS 自然语言处理和机器学习分析的内置自动文档分析功能，确认关键标准已得到满足。
• 通过内置的补救建议和指导，采取可行措施降低供应商风险。
• 通过将评估结果自动映射到任何法规或框架，可视化并满足合规要求。