利用 ISO 27001 评估第三方风险管理

你好大家好数字在增长当数字开始增长时，总是很有趣。大家好，非常感谢你们今天能来参加我们的活动。在我们准备的时候，我要发起一个投票问题。我觉得，如果你参加过这些活动，你就会对所有这些问题习以为常，我们想知道这些问题是否改变了你的答案。所以，在您等待的时候，我们很想知道是什么让您参加 Prevalent 今天的新网络研讨会。您在做项目研究吗？您是来接受教育的吗？您不知道您在哪里。没关系。您将从一位名叫托马斯-汉弗莱（Thomas Humphre）的英国小伙子身上学到一些东西，他是 Prevalent 公司的内容经理。嗯，也许你是我们的客户。如果你是，感谢你今天加入我们。嗯，我们要讨论的是根据 ISO 27,01 评估第三方风险管理。我是阿曼达。我是今天的主持人。托马斯，就像我说的，将在这里加入，他会给你所有关于这个好内容。有几件事要处理你们都静音了我们也看不到你们，但我们真的希望你们能参与进来。最后还有问答环节。最后还会有一个投票问题，但如果你有什么想问的，托马斯，请把它放到问答中，而不是聊天中，因为通过问答来简化这个过程会容易得多。如果你有任何其他问题，只要不是与我们今天的对话有关，就一定要放到聊天中。我就说这么多。我们会在明天或今天从我这里提前获取录音。当我们问你问题时，请诚实回答，因为我会跟进。我的同行梅丽莎和没有将跟进，我们要绝对确保我们可以帮助你们。就这样吧。托马斯，我就不打扰你了。投票结束我们换个幻灯片等一下在哪儿？那个东西在哪里？我看不见我们已经有聊天工具了这可能不是超级。是的，他们中的一些。我们会再联系你的好吧，让我们来看看这里。穆雷失败了，伙计们。它不让我。议长你要我尝试 并采取控制阿曼达或

阿曼达：你知道通常会有一些小点，但它不让我这样做。等一下我们有一个很好的开始，大家。等一下让我暂停一下共享屏幕，然后重新启动 它卡在我的笔记本电脑上了。好吧 是卡在电脑上了可能就是这个问题等一下我们再试一次开始There we go.从当前幻灯片开始它不让我这样做。发言人：你要我尝试和阿曼达：好的你想试试吗？你听到噪音了吗？它现在不喜欢我。我也不知道为什么看，这就是为什么我不这样做，你们。是啊，它在我的桌面上被冻结了 Yeah, it's frozen on my desktop here.这是个好的开始但你发给我的那个还不错好吧，不用担心：好吧，不用担心。让我看看能否分享我的屏幕。

阿曼达是啊，我不分享任何东西。技术故障请大家稍候。好的在等待的过程中，大家喜欢超级碗吗？中场秀怎么样？我是说，它把我带回来了我不知道是否把你们也带回来了 但总体来说还是很开心的好的好的我看到你的屏幕了发言人：我可以看到你的屏幕。你可以开始了。阿曼达我的屏幕。我要走了。如果你们需要我，我会在这里。祝你们好运

托马斯非常感谢阿曼达是的，大家好。欢迎参加本次网络研讨会。我叫托马斯-汉弗莱。我是 Prevalent 公司的内容经理。我根据许多公认的框架构建评估和第三方调查，显然，至少包括 ISO 27,0001 和其他基于隐私网络安全的框架。很显然，今天的目的是通过 27,0001 标准，了解在进行第三方风险管理时如何使用该标准，并重点关注该框架提供的一些核心控制措施。我将对该标准做一个高水平的介绍。嗯，希望它应该是一个相当嗯熟悉的标准，许多嗯，然后再进入嗯第三方管理如何适应ISMS到2017年000，然后专注于框架的一些核心方面，嗯组织需要做什么，以及他们如何能够接近这些这些关键控制。最后，对于那些首次开始第三方风险管理的企业，以及那些已经制定了计划的企业，希望这篇文章能对他们有所帮助，并能让他们对如何使用 27000 等标准有一些有趣的见解。在加入 Prevalent 之前，我只想简单介绍一下自己。我曾是一名 ISO 审核员，在英国和新加坡的认证机构工作了不到 10 年，和许多审核员一样，我也是从 ISO 90001 质量标准开始的，但很明显，我也在不断进步，并转向了 27,000 等领域，正如阿曼达所指出的那样，很明显，在今天的讨论中，如果您有任何问题，都可以在问答窗口或聊天窗口中提出来，然后，很明显，如果时间允许，我们可以在讨论结束后通过一些 Q 问答来开始介绍 ISO 27,000 标准。这是国际标准化组织（ISO）制定的一项国际标准，也是信息安全的核心框架。该框架的核心是帮助组织围绕信息安全构建治理和风险管理结构，并为识别和应用安全控制提供平台。

托马斯在今天的网络研讨会上，你会看到一系列的控制措施，其中一些非常相关，直接影响到第三方或供应商的管理。有趣的是，这并不是第一个以 27,01 为核心的标准。这些标准的实际前身是一个名为 DS779.或 1995 年制定的英国标准。因此，信息安全管理系统的概念可以追溯到很久以前。这实际上是根据安全专业人士和英国政府的要求制定的。直到本世纪初，国际标准化组织（ISO）才开始将其国际化，并将其变成一个更广泛的框架。第一份评估报告27,01205已经发布，但它是在英国标准7799的基础上制定的，正如你所期望的那样，大多数认证机构都会定期对这些标准进行审查，以确保这些框架与时俱进，与新技术、新威胁和最佳实践保持同步。有趣的是，今后还将对这一框架进行审查。嗯，但从那时起，我们就决定 2013 年版仍应保持现行，因此目前还没有改变 2000 年 2701 版标准的计划。不过，值得注意的是，就像许多国际标准化组织的标准一样，这是一个系列标准中的一个。因此，尽管他们没有修改 2000 27,01 号标准，但还有更广泛的标准已经发布，这些标准侧重于如何将这一框架应用于某些部门、某些行业，以及如何暗示和实施安全控制的实施标准。其中最新的27,0002号标准也许是27,0001号标准之外最著名的标准，它是昨天重新发布的。

托马斯：因此，27,02 2022 是最新的、与时俱进的框架，它与一些较新的主题保持一致，并真正解决了一些主题。它是一个很好的标准。目前有超过 40,000 个认证在 100 多个国家流通。因此，它是一个全球框架和全球标准。嗯，值得注意的是，这些标准、这些认证都是从哪里来的。嗯，鉴于我们今天要讨论的主题，以及我们知道的大约 27,000 项认证，信息技术开发组织广泛采用它显然不足为奇。嗯，但还有很多其他组织，如医疗保健部门、建筑业、设备制造业等等，他们都相当公开地采用了27,0001嗯框架，并理解了它的必要性。对于那些不熟悉国际标准化组织的人来说，尤其是他们的很多核心框架 9 27 000 14 000 嗯，他们都是围绕着计划、检查、行动或 PDCA 嗯这个概念而建立的，我将再次解释如何应用嗯，当寻找真正的第三方第三方管理时也是如此。计划阶段包括识别风险、识别威胁、识别政府结构。然后是实施阶段。因此，实施实施呃风险实施风险实施嗯安全控制，政策，程序嗯基于这些风险。持续的检查和监控过程。通过内部和外部手段、审计、管理审查、审计日志等技术审查进行持续审查，然后根据审查结果和持续改进的概念采取行动。因此，要不断改进现有的安全控制措施、政策，在适当的时候对其进行完善，然后甚至对风险进行审查，比如说它们是否符合目的，是否仍然与我们这个组织相关，或者是否出现了新的威胁，以及我们需要考虑的领域。

托马斯：因此，围绕这些管理系统的整体概念是，它们应不断发展、不断改进，最终目的当然是使其成熟。举例来说，使企业的安全环境更加成熟。因此，当你考虑第三方信息安全风险时，显然有很多风险存在。风险的种类和类型相当广泛。也许一些更相关的，或者我想最近的攻击总是值得一提的。恶意攻击的数量在不断增加，很明显，勒索软件只是提出了一些关键的名称，一些关键字，太阳风，Caya DSA日志4j，仅举几例，很明显，我们已经看到，这是一个不断增加的东西，嗯，在一系列的行业和部门的范围内，很明显，这里重要的是要思考，不仅很明显，这些嗯攻击如何影响我们，但思考他们如何影响我们的第三方和那些我们依赖的组织。例如，我们依赖那些为我们提供关键产品或组件等关键服务的组织，因此要注意这一点，并能够联系供应商和第三方，说你们是如何处理这个日志 4j 问题的，这对我们行业来说是一个非常大的问题，你们是如何处理的？GDPR 已经存在了四年或五年，显然还有其他地方性的国家标准和法规，如美国加利福尼亚州的消费者隐私法案，以及对其他国家数据保护法案所做的调整。当然，我们也看到，无论是个人数据，还是使用 GBPR 术语的 PII 敏感数据或 SPI，数据的存储收集和处理都在增加。在某些情况下，数据量被分散到多个第三方，这也增加了风险和所需的数据映射水平。

托马斯复杂的供应链，从业务连续性和灾难恢复的角度来看，我们看到供应商的数量在不断增加。我们谈论的显然不仅仅是第三方。现在我们谈论的是第四方、第五方、第六方、第七方、第八方等一些特别复杂的情况或复杂的行业。当然，这也带来了一系列的变化、风险和挑战。他们考虑的是地缘政治环境问题和事件。因此，不仅需要了解组织内部的连续性和应急计划，还需要了解第三方以及他们如何管理供应链。当然，法律和监管压力也在不断增加，在某些领域，如金融行业、法律行业等，我们发现有越来越多的压力需要加强隐私控制和安全控制。当然，如果你所在的行业受到来自执法部门或监管机构的更大压力，那么你就需要更加重视，确保你已经尽职尽责地与第三方合作，因为这些第三方可能会出现问题，导致财务和法律上的处罚，以及日后的问题。因此，这只是众多第三方安全风险和风险类型中的一小部分。当然，这只是额外强调的一点，如果你还没有开始考虑更广泛地使用你的信息、你的信息资产，以及你如何使用和接触第三方和第五方（如果有必要），这是一个很好的时机。那么问题来了，TPRM 第三方风险管理如何融入 ISMS 信息安全管理系统？这是一个用来描述或标注 ISO 270001 标准的术语。

托马斯：因此，虽然总的来说，27,000 的产生一直是为了帮助企业为自己获得认证，嗯，就像我们所描述的那样，嗯，风险一个清晰和结构化的风险管理方法嗯，一套安全控制和这个 PDCA 嗯概念，所以持续改进监测审查嗯设计和应用。但我们也可以在广义上考虑如何与第三方进行讨论、审查和监控时应用这一概念。当然，在考虑第三方风险本身时，27,0001 号文件详细说明了识别信息资产的必要性，以及确定管理和计算风险结构的必要性。因此，风险影响高于风险可能性，例如，信息的保密性、完整性和可用性，我们可以运用这一概念，好吧，你可以用同样的方法来分析第三方风险，用系统化的方法来识别哪些对我们至关重要，哪些对我们的信息资产至关重要，哪些信息资产是由第三方管理支持的，哪些信息资产是由第三方管理的。因此，利用这种系统化的方法，27,01 从头开始。我们可以利用这一点来帮助我们确定和管理第三方风险的框架，以提供一个清晰的结构和方法来启动嗯嗯记录嗯嗯和承担责任和嗯嗯可见性的风险，嗯嗯会影响你。有一个包含 114 项安全控制措施的目录。在 27,01 号文件中，这被称为附件 A，是一份控制清单，其概念是，一旦一个组织通过 27,0001 号文件的高层结构确定了风险，就会有一套控制措施，范围相当广泛，从访问控制、人员安全、操作安全、网络安全、业务连续性、安全开发等等，不一而足。

托马斯嗯，这个清单显然不是详尽无遗的，但同样，既然我们已经确定了第三方风险和对我们影响最大的风险，那么我们需要自己或要求第三方实施哪些控制措施，以解决第三方访问、使用或支持他们所访问的信息和信息资产的问题。嗯，使用这些安全控制措施，并了解第三方与我们的数据、信息或信息资产的访问和互动类型，哪些控制措施是最合适的。最后，通过持续改进的概念和 PDCA 循环的 CA（如果你愿意），我已经解释了信息安全管理系统 27,0001 已经制定了明确的流程，可以实施内部和外部审计、管理审查、系统审计记录、事件响应管理、事件管理记录、漏洞和威胁管理。当然，你可以利用这些方面，企业也可以利用这些方面与第三方合作，确保有一定的监控水平和监控频率，当然，在此基础上，还可以通过与第三方的合同安排，要求进行实际的性能监控、服务报告。最后提到风险总是很重要的。我今天可能还会提到几次风险，但这都是一个持续的过程，当我们有了一个结构来识别第三方的风险，识别需要哪些控制措施，然后你会看到我们如何从合同的角度，嗯，从监控的角度，根据环境的变化，根据这些控制措施，根据不断变化的风险环境，来应用这些控制措施，我们的风险管理系统表现如何？我们是否需要不断地回头审查它对我们是否有效？根据我们与第三方以及在某些情况下更广泛的供应链所面临的风险类型，它是否有效？

托马斯：那么，我们现在来深入探讨一下这 114 项安全控制目录中的两个核心要素，即五项控制措施。这是 A.15 的一部分，也就是 ISMS 中的供应商管理，我们从信息安全和第三方关系开始，嗯，小标题是信息安全政策。 到第三方关系，嗯，当我们进一步看到合同嗯，协议和安排，以及嗯，看管理和意识到供应链。那么，我们定义第三方信息安全政策是什么意思呢？27,000 规定了一些明确的指导和要求，说明如何确定政策，如何管理审查政策，当然，其中一项政策是关于如何参与、如何管理第三方的政策。那么，我们这里指的是什么呢？首先，我们要了解第三方类型、第三方风险关系和第三方关系。因此，在第三方类型方面，我们可以根据第三方提供的服务来细分第三方的类型，无论是服务维护、开发、应用软件开发、第三方，还是我们需要考虑的信息访问和资产等其他方面。然后是第三方关系。我们如何与这些第三方打交道？我们与他们接触的频率是多少？我们需要签订什么样的合同，我们需要与这些第三方建立什么样的监控和服务关系。一旦我们掌握了这些，一旦我们了解了这些，我们就可以开始研究第三方需要哪些类型的信息访问。当然，在考虑供应商类型、IT 服务类型、金融服务类型的同时，也要考虑他们可能需要的访问类型。我们是否有可能接触到我们敏感数据的第三方？

托马斯我们的内部数据、员工数据、客户数据，他们是否需要访问，是否需要根据提供的服务类型进行存储。在此基础上，我们是否可以开始细分安全级别、审查级别以及我们需要向他们提出的要求，我们需要规定他们需要实施的要求。一旦我们了解了第三方基于服务水平或产品和服务所需的信息访问类型，他们就可以确定这些最低安全要求和控制措施、0001 嗯，其中一些将是相当高的水平，你会期望从所有第三方，特别是任何处理或处理您的任何您的信息资产，所以他们的方式，他们响应事件，例如，他们响应的连续性和应急嗯，他们访问嗯信息资产的方式，无论是当他们来到现场做一点支持或维护工作，例如，或者它是否是你发送信息给他们，他们在他们的网站上管理他们的基础设施。根据第三方类型、信息类型和所需访问级别，我们需要对第三方采取哪些最合适的安全控制措施？到了这个阶段，你就要考虑监控要求了。同样，这可能取决于第三方的严重程度。如果你开始进入计算或确定第三方分级的阶段，比方说，提供关键任务组件或服务的第三方分一级、二级、三级。三到一级提供的是对最终产品或系统没有压倒性影响的支持服务。然后，我们就可以开始拼凑我们需要的监控级别？我们需要每月、每季度、每半年还是每年召开一次服务审查会议？

托马斯我们是否需要报告到位，他们提供一定程度的统计和统计报告，基于服务可用性，服务正常运行时间系统可用性呃基于变化和变化管理，以及嗯这些领域，所有供应商可能需要提供事件响应，例如，然后培训培训分为两个部分。从内部培训的角度，让员工了解与第三方合作时的安全要求。嗯，如果有一些细微差别或一些特殊的控制，他们需要知道，他们需要注意的参与时，提出相关的问题。例如，如果第三方受聘到现场提供维护服务，你们是否要求第三方参加一些基本的安全和隐私意识培训？当然还有保密性，嗯，我们已经谈到了隐私和潜在的处理、存储或使用敏感信息的问题，当然还有保密性、不披露等问题，这些在许多第三方的合同和协议中都很常见。因此，这是我们要求公司在开始制定信息安全政策和政策框架时要考虑的六个关键领域。因此，这是一个帮助识别和持续管理第三方的结构。当然，在此基础上，我们还要解决供应商协议中的安全问题。因此，在协议中捕捉信息安全要求，包括说明基于政策和技术的最低最低控制措施。从数据保护、知识产权角度、通信、事件和问题的响应和可见性、业务连续性、事件和威胁、审计权和审计权，以及考虑到第四方或最终方开始考虑更广泛的供应链等方面的任何法律要求。从最基本的控制措施做起。

托马斯现在，我们应该已经确定了这些风险，并且非常清楚我们需要哪些类型的控制和最佳实践，我们有信心将这些控制和最佳实践传递给第三方，这样我们就有信心，我们的数据和信息显然会得到最好的保护。那么，我所说的基于政策的控制和技术控制是什么意思呢？这两者之间总会有一些交叉。一般来说，我们关注的是信息分类。因此，基于数据和信息的类型，你可能会将这些数据和信息传递或发送给供应商、第三方进行管理。毫无疑问，公司在如何保护数据、应制定哪些规则、如何处理数据、如何标记数据以及如何处理数据等方面都会有一定程度的分类。员工筛选检查 你是否会要求访问你的信息或信息系统的第三方在引进新员工参与项目工作时进行一些基本的尽职调查？如果你将关键业务流程外包给第三方，而第三方的系统中包含账户信息、应付账款信息、财务信息，甚至是员工薪酬信息，如果你将整个薪酬流程外包，你要确保负责管理和帮助管理薪酬流程的员工在必要时经过了适当的审查，至少有尽职调查，第三方可以分享他们采取的方法。显然，可接受使用政策呃即时响应，我们已经我们已经涵盖的一部分，显然隐私思考呃GDPR思考嗯CCPA有本地化的框架或法规到位，即使没有其他基本的隐私政策为基础的控制。因此，数据隐私政策，例如数据隐私要求和响应管理，当然还有保护数据的技术控制。

数据存储 嗯 数据存储方法 嗯 加密级别。嗯，如果组织对嗯嗯 AES256 位加密有最低要求，例如对乳房中的数据嗯嗯和传输层安全 TLS 1.2 1.3 的最低要求，因为有其他嗯嗯明显过时的嗯版本，现在嗯嗯过时和和失效和和有嗯嗯安全性差。当数据传输到第三方的网站或业务时，你可能有必要坚持并在适当情况下尝试强制执行相同的加密级别。数据的保留和处置。项目结束后怎么办？你们是否愿意让第三方按照一定的安全标准，以安全的方式处置保存数据的系统？你是否要求任何此类系统都是安全的？ 通过安全的耦合器和其他方式安全地返回到组织，然后显然是技术控制，以管理隐私，嗯，通过限制访问，嗯，加密级别，嗯，以及数据丢失的预防。因此，有一系列的控制措施，而我们的想法是开始将它们作为协议的一部分，作为合同要求的一部分。很明显，你已经有了法律要求，我提到了数据保护，可能需要根据 GDPR 的要求，根据数据处理的类型，根据第三方管理的数据使用情况，可能需要一种方法来执行额外的保护。当然，从内部和第三方的角度出发，确定关键的联系点，沟通是非常重要的。因此，如果发生泄露，如果发生事故，他们将如何应对？作为一个组织，他们将如何与你们沟通？业务连续性也是如此。显然，授予权是目前许多协议中常见的条款。

托马斯嗯，它并不总是被执行，但当然，如果它被执行了，它就提供了一个很好的机会，嗯，对一个组织进行更深入的调查，适当地进行围栏和范围审计，但实际审查的能力，无论是实际审查还是通过远程评估或调查，嗯，控制措施是否到位和有效，嗯，始终是此类合同中需要考虑的一个关键领域。当然还要考虑到第四方和最终方。因此，我们将我们的信息资产传递给你，或者我们与你达成协议，让你帮助开发这些信息资产，或者为我们提供开发服务。你们是否将其中的某些部分外包给了自己的第三方？请耐心听我说。对不起，我说得有点远了。嗯，所以你如何管理和第四方的能见度和能见度的数据水平嗯或或访问信息系统的那些第四方有以及。因此，要考虑如何捕捉对第四方的要求，或至少对第三方的要求，即你希望他们做的尽职调查，这可能包括应用一些你要求第三方遵守的信息安全控制措施。接着，我们来谈谈信息和通信技术供应链本身。因此，要了解信息资产是如何在更广泛的供应链中得到支持、使用或供应的，并确定监控措施，以监控和管理与之相关的安全风险。因此，我认为，当我们试图在第三方协议中纳入并考虑如何捕捉供应链时，我们应该关注四个关键方面。其中一个当然是关键部件和来源。我们是否知道特定组件的来源？从原始供应商或第三方到我们直接参与，直至产品到达我们手中，是否有适当的可追溯性？你是否确定了关键组件，这些组件通常对任务至关重要，如果没有这些组件，就可能出现问题，从而导致产品的安全弱点、潜在的数据丢失、品牌损失或声誉受损。

托马斯因此，我们要注意到这一点，并注意到供应链上的产品和服务的信息安全控制。因此，我已经提到了可能需要对我们的第三方实施的控制措施，在适当的情况下，可能有必要将这些控制措施扩展到第四方、第五方和第六方。例如，我提到的业务流程外包系统，假设你的第三方正在为你管理这些流程。他们管理组织的财务、应付账款、雇员付款等。然后，他们自己再聘请另一方帮助维护这些系统。当出现问题或错误时，你需要确信这四方已经达到了尽职调查、培训、意识、访问限制控制的水平，并签署了适当的保密协议，以确保他们注意到第三方的系统，注意到第四方使用的系统，并应用了适当的安全控制措施。显然，保证在这里发挥着重要作用，通过对第三方的定期监控和参与程度进行绩效审查，你显然可以看到，无论是从证明的角度来看，还是从第四方应用的产品和服务的角度来看，都可以获得保证，即第四方提供的产品和服务是符合目的的，而且他们已经应用了必要的安全控制和能力。此外，正如我们在提供业务流程外包的第三方的例子中提到的，这些控制措施也得到了适当的应用。从第三方处获得保证和验证，即他们正在对第四方进行关键检查。当然，还要审查安全风险。

托马斯：因此，当风险和威胁发生时，通过了解组件的四个过程，以及第四、五、六方在多大 程度上是交付最终产品的必要条件，应该有助于审查自身的安全风险。因此，回到我们从一开始就确定的第三方风险，我们需要审查它们吗？我们是否需要在了解供应链复杂性的基础上对其进行调整？嗯，是否有必要增加风险，嗯，嗯，基于这种复杂程度，或者是我们COM是我们是我们舒适的嗯尽职调查应急计划业务连续性嗯嗯水平已颁布已应用，第三方是正在管理第四方嗯的方式，我们嗯期望从安全，甚至从隐私的角度来看。第二部分是第三方服务交付管理，这包括两个方面。其中一个方面是监控、审计和审查，然后是管理变更。因此，当你考虑监控审计和审查时，验证信息安全条款和条件是否得到满足，我们可以通过三种方式实现这一点。其中之一就是对第三方进行定期的监控审查，包括性能审查和服务报告。其次，在适用的情况下，通过使用审计权条款。最后，及时接收与事件响应和问题管理有关的通信。同样，在必要的情况下。因此，回到最重要的一点，进行定期监控审查。我已经从 27000 的角度解释过了。如果是内部审查，可以进行很多不同的审查和管理审查。当然，也可以进行服务审查和绩效审查。嗯，与第三方一起。当然，审查的频率取决于这种关系的重要性和第三方的重要性。每月对第三方进行一次绩效审查的情况并不少见。

托马斯每季度和每半年一次的情况也不少见，如果双方的关系非常密切，或者第三方的风险或关键性非常严重，只需要每半年甚至每年进行一次绩效审查。但是，要考虑到我们在合同阶段采用的控制类型，并帮助将其纳入您可能要求收到的服务报告中。这可能是任何东西，从嗯嗯报告和统计的漏洞，变化，甚至供应商的变化和供应商管理控制，我们后，第三方供应商或第四方嗯如所述。因此，我们开始考虑需要哪种类型的统计资料来确保我们要求第三方采用的安全控制措施、访问控制措施、事件控制措施、信息分类控制措施，不管是什么，我们如何才能确保这些控制措施得到满足？我们可以通过这些定期的绩效审查、这些更新，甚至通过服务水平协议、目标、服务水平协议和目标，根据这些控制措施的频率和复杂程度来衡量这些控制措施。我提到的审计权是常见的。嗯，当我们谈论对它的权利时，嗯，很明显，这很重要，尤其是在今天，看看这并不只是意味着在第三方网站上实际打开，并进行全面全面的评估。你知道这里的诀窍，然后这里的重要性是显然理解和环围栏和和光盘范围它正确。因此，很明显，如果你制定了审计权，它就是针对这些功能、这些流程、这些控制的审计，嗯，以确保如果你移交关键信息资产，嗯，这显然可能是硬件、软件、数据，不管是什么情况。你希望行使审计权，以核实这些系统是否按照你与第三方商定的方式得到保护。

托马斯然后是与即时响应和问题管理有关的及时沟通。因此，我认为沟通是非常重要的，尤其是沟通的及时性，尤其是当威胁和漏洞发生时，这既可能是直接影响信息系统的威胁，例如由第三方管理的信息系统，也可能是间接影响信息系统的威胁。但也可能有其他系统遭受了某种形式的破坏或某种形式的有针对性的攻击。因此，这足以让你进行进一步的调查，与第三方进行进一步的讨论，说明你制定了哪些行动计划，你的响应流程是什么，你是如何从问题管理的角度处理它的。因此，在监督审计审查方面有很多不同的方法和技巧。显然，重要的是要识别这些问题，并将其作为第三方协议和合同的一部分。然后，我们继续管理第三方服务的变更。设定对第三方的变更以及对业务信息系统和流程的影响。因此，同样要考虑三个方面。组织变革、服务变更、协议变更。我会从最底层开始。这样就更清楚了。显然，总是需要对合同协议进行正式审查，特别是当流程发生变化、系统发生变化、需要扩大服务范围或减少服务范围时。显然，从组织变革的角度来看，协议如何变更或调整，在某些情况下可能会产生风险，增加或减少风险。再回到组织变革，新系统的开发、政策的修改、新的控制措施。

托马斯：所以，如果你所接触的第三方组织正在更新他们的安全政策、隐私政策，例如员工招聘政策，任何可能产生影响的政策，或者他们正在应用新的控制措施。比如，他们加强了一些安全控制，比如，他们有了更强大的身份验证系统，比如，或者他们正在加强其他控制措施，比如，基于更换老旧系统的控制措施。当然，这些都是积极的变化，希望你们能从中受益。因此，注意并意识到这些变化有助于了解并减少最初应用于第三方的一些风险。类似的还有服务条款的变更、新产品的采用或系统版本的更新。因此，如果第三方决定改进系统，以获取与事故和变更管理相关的信息，这可能是一件好事。这意味着当发生变更时，你可能会受到更多细节的影响。如果发生事故，作为这些增强型产品或更新版本的一部分，可能会获得更深入的知识。但也要考虑其他关键领域。例如，服务设施位置的变化。因此，如果你与第三方合作，处理你的一些信息或信息资产，而最初的协议是这些信息或信息资产将存放在特定的地理位置。当然，考虑到数据隐私，比如说从欧洲的角度考虑 GDPR，如果第三方现在要求或现在提议从该设施转移到另一个设施，那么这显然会对组织产生巨大影响。

托马斯嗯，同样是积极或消极的，这取决于呃设施移动或地点移动的类型，因此，及时了解这一点绝对是至关重要的，特别是如果这意味着审查安全控制或基于隐私的控制呃，如果他们正在移动它嗯移动地域嗯或或移动移动地点，当然改变供应商，以及说供应链是不断增加和当然，如果你的第三方改变了供应，他们增加了一个新的供应，以帮助更好地提供服务，以提供更有条理的服务，例如，或者因为有一个事件，影响了他们的供应商之一的链，他们想移动和改变供应商。如果这显然会直接或间接地影响到你，那么显然至关重要的是，组织要意识到这一点，并有适当的时间来考虑这个问题，审查它，让第三方参与进来，以了解风险和复杂性，当然也要提出质疑。特别是如果这将对第三方使用的信息系统、解决方案或信息资产产生重大影响。因此，在这一阶段，我们要进行快速审查。我们已经广泛研究了 ISMS ISO 27,0001 如何用于帮助识别第三方风险，并通过它应用和识别适当的控制。那么，我们现在需要做什么呢？如果你刚刚开始这个过程，第一步其实就是开始识别你的第三方。

托马斯：开始根据第三方对业务的重要程度，根据他们使用、访问或被允许访问的信息资产类型，对第三方进行识别、分析和描述。因此，开始根据关键性对第三方进行评级。这样，高、中、低、红、黄、绿、一级、二级、三级，不管什么情况，都可以帮助你构建第三方的结构，并说明这些是最关键的，这些对我们的最终产品和服务交付或我们的最终客户来说是至关重要的。嗯，这些对我们至关重要，但从风险角度来看，不会给我们带来太多的担忧，然后显然要对第三方进行剖析，以帮助交付，以及帮助识别 tal 类别。因此，所提供的服务类型、所处理的数据类型、地理位置等，都足以让你了解第三方的工作内容，以及他们所接触的供应商和第四方。显然，一旦我们掌握了这些信息，我们就可以开始制定风险评估程序。因此，正如我所说的，27,0001 的优势在于明确界定的风险方法。识别和管理风险，当然要从识别第三方访问或支持信息资产开始。作为一家企业，你拥有哪些信息资产，哪些资产正在被第三方使用、管理和支持。识别风险计算，因此影响超过可能性加上 CIA、保密性、完整性和可用性。即信息的保密性、信息的完整性和信息的可用性。因此，在考虑创建和计算风险框架时，要考虑到 CIA 丢失的风险。最后，确定记录风险的方法。你是通过实力、电子表格、平台，还是通过两者的结合来记录风险？你们采取的是哪种方法？嗯，以确保你保持在嗯嗯之上，并允许你不断更新和审查你的风险。第三，显然是进行第三方风险评估本身。

托马斯：所以，识别第三方对资产的访问，识别威胁和能力。所以，就在最前面，呃网络安全风险、业务连续性风险、地缘政治风险、呃环境隐私风险，不管是什么情况。确定那些对组织最为关键的威胁和漏洞，以及它们将如何受到第三方的影响。因此，你将如何受到第三方的影响。显然，这些威胁和漏洞发生的可能性。再次提到，27,000 项控制措施显然不是详尽无遗的，但其中的 114 114 项控制措施，包括从访问到操作网络安全等，确实提供了一个很好的背景或支柱，可以开始建立一个最合适的控制措施集合，而且你需要对第三方执行这些控制措施。最后，制定并执行应对风险的计划。因此，要制定第三方信息安全政策，在第三方协议和合同中强调控制因素、安全控制、隐私控制，并酌情纳入供应链要求。最后，显然是检查和行动。因此，在 PDCA 方面，对第三方进行检查并采取行动。因此，持续监控审查、绩效审查、设定目标和 SLA（服务水平协议），并通过审查风险、审查新风险、新出现的领域（你需要加强这些领域）和引入新的控制措施来应对这些领域（显然是基于第三方的参与，基于他们为你管理的信息资产类型）来持续改进。我现在要暂停一下。嗯，我相信我的同事斯科特可能会涉及到更多的部分。嗯，所以在这个阶段，我会交还给你自己，阿曼达。

阿曼达是的。斯科特会接手。托马斯，如果你想跳过几张幻灯片，让我们看看这里。斯科特：是的，我们直接看清单幻灯片吧。斯科特：核对表很好。就这样。就是这样。这就是我想分享的。呃，只是简单说说托马斯谈到的最佳实践、建立框架和统一提问结构。要知道，Prevalent 的平台功能可以帮助你根据这些标准对供应商进行评估，从而统一情报，并帮助你快速明确控制缺陷是什么，以及你需要做些什么来解决这些问题。在此基础上，我们发布了一份名为 ISO 和第三方风险管理清单的文件，为您提供了一个良好的开端。它贯穿了第三方和供应商风险管理要求，因为它们适用于 ISMS。嗯，然后定义你需要在解决方案中寻找的具体能力，然后你知道映射到这些要求中。呃，你知道，我们会跟进一个链接，让你自己下载的文件，但我们在这里提供了它呃，如果你可以键入速度非常快。嗯，你知道这是一个伟大的资产，你种映射反对你现有的呃ISO的要求和做法，什么和什么最佳做法看起来像从第三方的角度来看。所以，你知道，这是我唯一想提供的商业。我看到有很多问题，而且都是很好的问题。所以，我就不说了，请专家回答、

阿曼达：不是我，但我要问。好吧，你们。我知道我们时间很紧。我只是抛出一个投票问题。不言自明我就不读了你们都看到了我们马上开始问答吧我会尽快从问答的最上面开始。如果你把聊天内容放进去，很抱歉我现在不能滚动浏览。太多了。但好吧，第一个问题是，为什么某些行业，如医疗保健行业，更容易接受27,01的应用？托马斯这是一个非常好的问题。我们一直在努力关注这个问题。你知道，哪些部门比其他部门更感兴趣。嗯，我认为，鉴于嗯一些肯定从英国有嗯一些一些恶意攻击嗯在过去嗯以及几年肯定影响嗯嗯一些医疗保健系统和医疗保健组织嗯，有时，这是所有它需要的驱动程序，为监管机构说，我们需要开始实施一个平台27,000鉴于它是如何全球如何承认它是嗯作为一个最佳实践标准嗯有时，这是所有它需要帮助推动。通常情况下，一个行业采用它，要么是来自行业领导者的压力，要么是来自监管机构的压力。这往往是我们发现较多的地方。其中总会有一些惊喜。我想我提到过建筑行业。我相信目前他们只有几百个认证，而一些制造业有 3 到 400 个认证，这显然是在全球范围内，当然要指出的是，认证数量更多。

阿曼达：好的，很好，那么下一个问题是，这 114 项控制措施是否按重要性排序？我提到过访问控制和系统开发，但不是这样的，它们没有优先级。因此，目的是当一个组织通过 2701 进行风险评估时，一旦你知道了风险，特别是一旦你知道了中情局的保密性、完整性和可用性所面临的风险。因此，理论上说，一旦你知道例如数据失密的风险是最大的。例如，你就可以通过 140 项控制措施找出你应该采用的最佳控制措施，以帮助降低数据失密的风险。嗯，但不是，它们绝对不是优先级。这在很大程度上取决于业务类型、所处行业以及业务的规模和复杂程度。

阿曼达好的，下一个问题是，如果一个风险已经被控制措施降低了，你该如何处理？是不纳入风险评估，还是将其归类为低残余风险，抑或从一开始就不属于风险？托马斯你能重复一下阿曼达的问题吗？阿曼达：如果一个风险已经被控制措施降低了，你该如何处理？托马斯：风险已经降低了。所以，如果你已经发现了一个风险，而且你知道已经有了缓解措施，有了控制政策程序，不管是什么培训，这些都有助于降低风险，以至于你可以说我们已经缓解了风险。嗯，这可能很简单，只需保持风险的可见性，但你可能需要不做任何进一步的处理。当然，如果情况有变，风险有可能增加，你可能需要解决这个问题，然后再回来处理。因此，举例来说，如果原来的控制措施发生了变化，你认为已经降低了风险，或者如果风险本身已经通过新出现的威胁得到了加强。嗯，所以这就是为什么对风险进行持续审查是如此重要，嗯，嗯，以确保您最初识别的风险，嗯，希望已经得到缓解或处理，嗯，仍然如此。如果没有，如果风险增加了，我们可以再次审查，然后说，我们还可以采取或应该采取哪些额外的控制措施或行动，将风险降到我们可以接受的水平。所以，我在这里只是随便说说。另一个问题是，是否有可以纳入协议的审计权条款样本？云服务提供商会受到惩罚吗？

托马斯云服务提供商会受到惩罚 这是个有趣的问题他们会受到惩罚。我的意思是，这一切又回到了我猜测的部分合同的法律方面。嗯，这是一个有趣的领域，我们确实发现了很多，如果你说的是一些非常大的跨国公司，嗯，说你知道，我们想审计你和和一个典型的反应可能是不，我们我们，我们不接受嗯审计。我猜部分原因是，如果他们允许审计，他们就会允许每个人都可能进行审计。我们通常看到的情况是，他们说，"然而，我们是经过多重认证的。我们有 270001 项认证。我们有 22 项业务连续性公平认证。例如，我们在所有数据中心或关键基础设施上都有这些认证。嗯，如果你不能应用正确的方向，显然还有其他的方法嗯，应该有其他的方法，仍然审查嗯的安全控制，特别是那些组织嗯，说我们是27,000认证，例如，我们是袜子认证嗯，我们有22301的业务连续性嗯，有其他的信息，你可以找到给自己安慰，他们确实有足够的控制能力到位嗯，和，这可能是足够的，但正确的方向，说可以是它可以是一个有争议的问题，有时、但如果你确实有能力把它落实到位，说嗯，基于我们与你的协议，基于你所提供的服务水平，嗯，我们我们想寻求嗯，我们你知道，我们要求评估嗯，你的控制，我们已经同意，你会应用作为说，这里有趣的是，它不，它可能意味着传统的物理现场审计，因为你想ISO审计师来到现场，但现在它可能是嗯远程审查。嗯，也可以是另一种被算作审核的审查。

阿曼达Yeah.非常感谢你，托马斯。很遗憾，我们的时间到了。时间已经过去几分钟了，如果您的问题没有得到解答，请通过 [email protected] 联系我们。我们一定会为您解答，但我们真的很感谢您抽出宝贵时间，也感谢您多留了一会儿。这么多问题。我希望我们有更多的时间，但对于那些有兴趣知道答案的人来说，请联系我们，我们会为你们解答这些问题。也谢谢斯科特。托马斯，见到你总是很高兴，希望在下一期节目中再见。感谢大家今天抽出宝贵的时间。再见。

托马斯谢谢