如何满足ISO第三方风险管理要求

ISO 27001与第三方风险管理

ISO 27001是一项用于严格评估网络与信息安全实践的国际标准。该标准为建立、实施、维护及持续改进信息安全管理体系提供了框架。基于一套国际化要求，它系统性地阐述了安全管理企业敏感信息的实施路径。

作为ISO 27001的重要第三方风险管理补充，有两项补充条款值得考虑，包括：

ISO/IEC 27002:2022信息安全、网络安全和隐私保护——信息安全控制措施
ISO/IEC 27036-2:2022网络安全——供应商关系——第2部分：要求

ISO 27002与第三方风险管理

ISO 27002是一项补充标准，为实施ISO 27001附件A所列的安全控制措施提供指导建议。该标准帮助组织机构思考需要采取哪些措施来满足这些要求。

ISO 27001与ISO 27002共同构成了多数网络安全相关ISO标准的基础。在供应商关系中的信息安全管理方面，ISO 27001和ISO 27002的第15节概述了安全处理各类第三方合作方的具体要求。

ISO 27036-2 及第三方风险管理

ISO 27036-2 规定了定义、实施、运营、监控、审查、维护和改进供应商与收单机构关系的基本信息安全要求。该标准特别适用于第三方风险管理，其要求涵盖产品与服务的采购及供应环节。

ISO 27036-2标准的第6条和第7条规定了适用于管理供应商关系生命周期各阶段的基本和高级信息安全要求。

ISO第三方风险管理要求

采用自上而下、基于风险的方法，ISO标准为供应商管理提供了以下指导：

制定供应商关系信息安全政策，该政策需明确具体政策与流程，并强制要求实施特定管控措施以管理风险。
与任何可能访问、处理、存储、传输或为组织数据提供IT基础设施的第三方签订供应商合同协议。
纳入要求以应对信息通信技术服务及产品供应链相关的信息安全风险。
监控、审查和审计供应商的服务交付情况。
管理供应商服务的变更，同时考虑重新评估相关风险。

Mitratech 助力满足上述各项需求。

通过Mitratech TPRM平台满足ISO第三方指导要求

Mitratech可助您满足ISO 27001、27002及27036-2标准中关于第三方风险管理的规范要求，具体方式如下：

ISO 27001 控制措施	我们如何提供帮助
5 组织控制
5.1 信息安全政策信息安全政策及专题政策应予以制定，经管理层批准后发布，传达给相关人员及相关利益方并获得其确认，同时应按计划周期进行审查，并在发生重大变更时及时修订。 5.2 信息安全职责分工信息安全职责应根据组织需求进行定义和分配。	Mitratech与您携手合作，基于成熟的最佳实践和丰富的实际经验，构建全面的第三方风险管理（TPRM）计划，该计划将与您更广泛的信息安全、网络安全及隐私保护计划相协调。我们的专家将与您的团队协作，共同制定并实施第三方风险管理流程与解决方案；筛选风险评估问卷及框架；并根据贵组织的风险偏好，优化您的项目以覆盖整个第三方风险生命周期——从供应商选择与尽职调查，到终止合作与退出管理。在此过程中，Mitratech可协助您定义：明确的角色和职责（如 RACI）第三方库存基于组织风险承受能力的风险评分和阈值基于第三方关键性的评估和监测方法第四方映射持续监控数据的来源（网络、业务、声誉、财务）关键绩效指标（KPI）和关键风险指标（KRI）管理保护数据的政策、标准、系统和流程针对服务水平的合规性和合同报告要求事件响应要求风险和内部利益攸关方报告风险缓解和补救战略
5.7 威胁情报 “应收集并分析与信息安全威胁相关的信息，以生成威胁情报。”	Mitratech持续追踪并分析对第三方的外部威胁该解决方案通过监控互联网和暗网中的网络威胁与漏洞，以及公共和私有来源的声誉、制裁和财务信息，实现全面防护。监测来源包括 1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司包含全球数千家公司 10 多年数据泄露历史的数据库所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告及响应措施。
5.11 资产返还人员及其他相关方在变更或终止雇佣关系、合同或协议时，应归还其持有的本组织所有资产。	当关键服务需要终止或退出时，Mitratech通过可定制的调查问卷和工作流，对系统访问权限、数据销毁、访问管理、相关法律合规性、最终付款等事项进行报告。该解决方案还会根据离职评估的回答结果提出行动建议，并在必要时将任务分派给审核人员。
5.19 供应商关系中的信息安全应制定并实施相关流程和程序，以管理使用供应商产品或服务所涉及的信息安全风险。	Mitratech提供超过200个预制模板库，包括专用的ISO问卷。评估信息安全风险与第三方相关联。评估工作在Mitratech TPRM平台中集中管理。该平台依托工作流、任务管理及自动化证据审查功能，确保在整个供应商关系中实现第三方风险的可视化管理。重要的是，Mitratech根据风险评估结果提供内置的整改建议，确保第三方能够及时且妥善地处理风险。对于资源和专业知识有限的组织，Mitratech可代为管理第三方风险全生命周期——从供应商入驻和证据收集，到提供整改指导及合同服务水平协议（SLA）报告。由此，您既能降低供应商风险、简化合规流程，又无需增加内部员工负担。
5.20 在供应商协议中处理信息安全问题应根据供应商关系的类型，与每位供应商建立并达成相关信息安全要求。	Mitratech集中管理文件的分发、讨论、归档和审查。供应商合同它还提供工作流功能，能够自动化管理从入职到离职的整个合同生命周期。主要功能包括集中跟踪所有合同和合同属性，如类型、关键日期、价值、提醒和状态，并提供基于角色的自定义视图工作流程功能（基于用户或合同类型），实现合同管理生命周期自动化自动提醒和逾期通知，以简化合同审查集中合同讨论和意见跟踪合同和文件存储，具有基于角色的权限，并对所有访问进行审计跟踪支持离线合同和文件编辑的版本控制跟踪基于角色的权限，可分配职责、访问合同和读/写/修改访问权限
5.21 信息通信技术（ICT）供应链中的信息安全管理 “应制定并实施相关流程和程序，以管理与信息通信技术产品及服务供应链相关的信息安全风险。”	Mitratech依据ISO最佳实践及其他信息安全控制框架标准化评估流程，为内部审计与IT安全团队提供统一平台，用于衡量并证明其对安全软件开发及软件开发生命周期（SDLC）实践的遵循程度。
5.22 供应商服务的监控、审查与变更管理该组织应定期监测、审查、评估并管理供应商信息安全实践及服务交付中的变更。	Mitratech持续追踪并分析针对第三方机构的外部威胁。该解决方案通过监测互联网及暗网中的网络威胁与漏洞，同时整合公共及私有渠道的声誉信息、制裁信息和财务数据，实现全方位防护。监测来源包括 1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司包含全球数千家公司 10 多年数据泄露历史的数据库所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告及响应措施。
5.23 云服务使用中的信息安全 “应根据组织的信息安全要求，建立云服务的获取、使用、管理及退出流程。”	Mitratech对评估进行标准化处理 SOC 2网络安全基础、ISO及其他信息安全控制框架，针对云服务要求提供关键控制评估。这些评估同样用于在终止云服务时评估信息安全控制措施。
5.24 信息安全事件管理规划与准备该组织应通过定义、建立并传达信息安全事件管理流程、角色与职责，规划并准备管理信息安全事件。 5.25 信息安全事件的评估与决策该组织应评估信息安全事件，并决定是否将其归类为信息安全事件。 5.26 信息安全事件响应 “信息安全事件应按照文件化的程序进行响应。” 5.28 证据收集该组织应制定并实施程序，用于识别、收集、获取和保存与信息安全事件相关的证据。	Mitratech通过集中管理供应商、执行事件评估、对识别风险进行评分、关联持续网络监控数据以及获取补救指导，助力您的团队快速识别、响应、报告并减轻第三方供应商事件的影响。主要功能包括不断更新和可定制的事件和事故管理调查表实时跟踪问卷完成进度定义风险所有者，并通过自动追逐提醒，使调查如期进行主动供应商报告各供应商的风险评级、数量、评分及标记响应的综合视图工作流规则用于触发自动化操作手册，根据风险对业务的潜在影响采取相应行动。来自内置补救建议的指导，以降低风险内置报告模板绘制数据和关系图，以确定组织与第三方之间的关系，使信息路径可视化，并确定风险数据
5.30 信息通信技术在业务连续性中的准备情况 “信息通信技术就绪性应基于业务连续性目标和信息通信技术连续性要求进行规划、实施、维护和测试。”	Mitratech实现第三方业务韧性与连续性的评估、持续监控、分析及整改自动化，同时自动将结果映射至ISO及其他控制框架。为补充业务韧性评估并验证结果，Mitratech：自动进行持续的网络监控，预测可能对第三方业务造成的影响从超过 550,000 个公共和私人声誉信息来源中获取定性见解，这些信息可能预示着供应商的不稳定性从 200 万家企业的全球网络中获取财务信息，以确定供应商的财务健康状况或运营问题这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。 Mitratech平台包含基于ISO 22301标准实践的全面业务韧性评估，使组织能够：根据供应商的风险状况和对业务的重要性对其进行分类概述恢复点目标（RPO）和恢复时间目标（RTO）集中管理系统库存、风险评估、RACI 图表和第三方确保在业务中断期间与供应商保持一致的沟通
5.31 法律、法规、监管及合同要求 “与信息安全相关的法律、法规、监管及合同要求，以及组织为满足这些要求所采取的方法，应予以识别、记录并保持最新状态。”	Mitratech集中管理供应商合同的分发、讨论、归档与审核流程，同时提供工作流功能，实现从签约到终止的全周期合同自动化管理。主要功能包括集中跟踪所有合同和合同属性，如类型、关键日期、价值、提醒和状态，并提供基于角色的自定义视图工作流程功能（基于用户或合同类型），实现合同管理生命周期自动化自动提醒和逾期通知，以简化合同审查集中合同讨论和意见跟踪合同和文件存储，具有基于角色的权限，并对所有访问进行审计跟踪支持离线合同和文件编辑的版本控制跟踪基于角色的权限，可分配职责、访问合同和读/写/修改访问权限
5.34 隐私与个人可识别信息（PII）的保护该组织应根据适用法律法规及合同要求，识别并满足有关隐私保护及个人身份信息（PII）保护的要求。	Mitratech提供了一个集中化的协作平台，用于开展隐私评估并减轻第三方和内部隐私风险。关键数据安全与隐私评估能力包括：定期评估和绘制关系图，以揭示个人数据的存在位置、共享位置和访问权限--所有这些都汇总在风险登记册中，以突出关键风险点隐私影响评估，以发现存在风险的业务数据和个人身份信息 (PII) 通过Mitratech合规框架对供应商进行GDPR及其他隐私法规评估——通过将识别出的风险映射至具体控制措施，揭示潜在风险热点 GDPR 风险和应对措施与控制措施的映射。包括合规百分比评级和特定利益相关者报告。包含数千家公司 10 多年数据泄露历史的数据库--包括被盗数据的类型和数量、合规性和监管问题，以及实时供应商数据泄露通知集中入职、分发、讨论、保留和审查供应商合同--确保从合作关系一开始就执行数据保护规定
5.36 遵守信息安全政策、规则和标准 “应定期审查对组织信息安全政策、专题政策、规则和标准的遵守情况。”	借助Mitratech，审计人员能够建立一套高效实现并证明合规性的方案。该解决方案实现了自动化处理。第三方风险管理合规性审计通过收集供应商风险信息、量化风险、提出补救建议，并为数十项政府法规和行业框架生成报告。 Mitratech能自动将基于控制的评估所收集的信息映射至ISO 27001、NIST、GDPR、CoBiT 5、SSAE 18、SIG、SIG Lite、SOX、NYDFS等监管框架，助您快速可视化并满足关键合规要求。
ISO 27002 控制措施	我们如何提供帮助
5.19 供应商关系中的信息安全应制定并实施相关流程和程序，以管理使用供应商产品或服务所涉及的信息安全风险。
5.19 a) “识别并记录可能影响组织信息保密性、完整性和可用性的各类供应商（例如：信息通信技术服务、物流、公用事业、金融服务、信息通信技术基础设施组件）。” 5.19 e)“界定供应商提供的可能影响组织信息保密性、完整性和可用性的信息通信技术基础设施组件及服务类型；”	Mitratech平台使组织能够根据供应商的信用评级自动分层管理。固有风险评分设定适当的尽职调查标准，并确定持续评估的范围。企业还可基于数据交互、财务、监管及声誉等多重考量，运用基于规则的逻辑对供应商进行分类。
5.19 b)“根据信息、产品和服务的敏感性确定如何评估和选择供应商（例如通过市场分析、客户参考、文件审查、现场评估、认证等方式）”；	Mitratech将提案请求（RFP）和信息请求（RFI）的分发、比较及管理集中化并自动化处理，作为其解决方案的一部分。供应商选择决策。 Mitratech将每家选定的供应商推进至签约和/或入职尽职调查阶段，自动引导供应商完成第三方生命周期。 Mitratech提供超过200个预构建模板库，用于持续开展第三方风险评估。这些模板与原生网络安全、业务、声誉及财务风险监控能力深度集成，能够持续验证评估结果，并填补评估间隔期的风险盲区。内置的补救建议可确保第三方及时、满意地处理风险。
5.19 c)“评估和选择具备充分信息安全控制措施的供应商产品或服务，并对这些措施进行审查；特别是审查供应商实施的控制措施的准确性和完整性，这些措施确保供应商信息及其信息处理的完整性，从而保障组织的信息安全；”	Mitratech风险概况快照功能可帮助您比较和监控潜在供应商的人口统计数据、第四方技术、ESG评分、近期业务与声誉洞察、数据泄露历史及财务表现。通过该快照，您能结合RFx响应结果全面评估供应商——既考量其功能匹配度，又评估其是否符合贵机构的风险偏好。
5.19 克) “监控各类供应商及各类访问权限对既定信息安全要求的合规性，包括第三方审查和产品验证；” 5.19 h)减轻供应商的不合规行为，无论该行为是通过监控还是其他方式发现的；	借助Mitratech，审计人员可建立高效实现并证明合规性的方案。该解决方案通过收集供应商风险信息、量化风险、提出整改建议并生成符合数十项政府法规和行业框架的报告，实现了第三方风险管理合规审计的自动化。 Mitratech将基于控制的评估所收集的信息自动映射至ISO及其他监管框架，并通过持续监控进行验证，助您快速可视化并处理关键合规要求。
5.19 i)“处理与供应商产品和服务相关的事件和突发情况，包括组织和供应商双方的责任；”	Mitratech第三方事件响应服务通过集中管理供应商、开展事件评估、对识别风险进行评分以及获取补救指导，使您能够快速识别并减轻供应链安全漏洞的影响。
5.19 j)“弹性措施，以及在必要时采取恢复和应急措施，以确保供应商信息及信息处理的可用性，从而保障组织信息的可用性；”	Mitratech实现对以下环节的自动化处理：评估、持续监控、分析及整改。第三方业务韧性以及连续性——同时自动将结果映射到ISO及其他控制框架。为补充业务韧性评估并验证结果，Mitratech：自动进行持续的网络监控，预测可能对第三方业务造成的影响从超过 550,000 个公共和私人声誉信息来源中获取定性见解，这些信息可能预示着供应商的不稳定性从 200 万家企业的全球网络中获取财务信息，以确定供应商的财务健康状况或运营问题这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。 Mitratech平台包含基于ISO 22301标准实践的全面业务韧性评估，使组织能够：根据供应商的风险状况和对业务的重要性对其进行分类概述恢复点目标（RPO）和恢复时间目标（RTO）集中管理系统库存、风险评估、RACI 图表和第三方在业务中断期间确保与供应商保持持续沟通。
5.19 米) 确保供应商关系安全终止的要求，包括： 1) 访问权限的撤销； 2) 信息处理； 3) 确定合作期间产生的知识产权归属； 4) 供应商变更或内部化时的信息可移植性； 6) 记录管理； 7) 资产归还； 8) 信息及其他相关资产的安全处置； 9) 持续保密要求	Mitratech平台通过自动化合同评估与离职流程，有效降低贵机构在合同终止后面临的风险敞口。安排审查合同的任务，确保履行所有义务。发布可定制的合同评估，以评估状态。利用可定制的调查和工作流程，报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。集中存储和管理文件与认证，如 NDA、SLA、SOW 和合同。利用基于 AWS 自然语言处理和机器学习分析的内置自动文档分析功能，确认关键标准已得到满足。通过内置的补救建议和指导，采取可行措施降低供应商风险。通过将评估结果自动映射到任何法规或框架，可视化并满足合规要求。
5.20 在供应商协议中处理安全问题应根据供应商关系的类型，与每位供应商建立并达成相关信息安全要求。
5.20 d)“法律、法规、监管及合同要求，包括数据保护、个人身份信息（PII）处理、知识产权及版权，并说明如何确保其得到满足；”	Mitratech集中管理文件的分发、讨论、归档和审查。供应商合同确保供应商合同中包含关键条款，并持续进行跟踪。主要功能包括集中跟踪所有合同和合同属性，如类型、关键日期、价值、提醒和状态，并提供基于角色的自定义视图工作流程功能（基于用户或合同类型），实现合同管理生命周期自动化自动提醒和逾期通知，以简化合同审查集中合同讨论和意见跟踪合同和文件存储，具有基于角色的权限，并对所有访问进行审计跟踪支持离线合同和文件编辑的版本控制跟踪基于角色的权限，可分配职责、访问合同和读/写/修改访问权限
5.20 e)“各合同方实施商定控制措施的义务，包括访问控制、绩效评估、监控、报告和审计，以及供应商遵守组织信息安全要求的义务；”	Mitratech解决方案支持基于内部控制的评估（采用ISO行业标准框架和/或定制问卷）。该平台内置工作流功能，使评估人员能在尽职调查收集与审查阶段高效对接第三方。强大的报告与审计功能为各级管理层提供必要信息，确保其能准确评估第三方绩效表现。企业可针对网络安全、服务水平协议（SLA）履行情况及其他议题对第三方进行评估，并将评估结果与持续外部监控的成果关联，从而全面掌握风险状况。
5.20 h) “关于供应商信息通信技术基础设施的信息安全要求；特别是针对各类信息及各类访问权限的最低信息安全要求，这些要求将作为依据组织业务需求和风险标准制定个别供应商协议的基础；” 5.20 i)“承包商未能满足要求时的赔偿与补救措施；”	Mitratech提供了一个用于集中测量的框架。第三方关键绩效指标（KPI）和关键风险指标（KRI）通过内置机器学习（ML）洞察和可定制的角色化报告，确保符合您的要求并缩小供应商监督的差距。这些功能可帮助您的团队发现风险与绩效趋势，评估第三方风险状况，并识别可能需要进一步调查的异常行为。内置的补救建议可确保第三方及时、满意地处理风险。
5.20 j)“事件管理要求和程序（特别是事件修复期间的通知与协作）”；	Mitratech 使您的团队能够快速识别、响应、报告并减轻其影响。第三方供应商安全事件作为你更广泛的事件管理策略. 凭借这些洞察，您的团队能够更清晰地掌握事件的范围与影响；了解涉及哪些数据；判断第三方运营是否受到波及；并确认补救措施完成的时间节点——这一切都可通过借助Mitratech专家团队的资源实现。
5.20 l)“分包的相关规定，包括需实施的管控措施，例如关于使用分包供应商的协议（如要求分包供应商承担与供应商相同的义务、要求提供分包供应商名单并在变更前进行通知）；”	Mitratech可通过问卷评估或被动扫描第三方公开基础设施，识别第四方及第N方分包关系。生成的关系图谱将呈现可能使您的环境面临风险的信息路径与依赖关系。对通过此流程发现的供应商进行持续监控，以识别财务、环境、社会和治理、网络、业务和数据泄露风险，并进行制裁/PEP 筛选。这种方法为解决潜在的技术或地域集中风险提供了见解。
5.20 o) “供应商流程相关信息安全要求的第三方证明机制及其证据，以及关于控制措施有效性的独立报告；” 5.20 q)“供应商定期提交控制措施有效性报告的义务，以及就报告中提出的相关问题及时纠正的协议；”	米特雷科技控制验证服务根据既定的测试规程，审查第三方评估响应及相关文件，以验证所示控制措施是否到位。 Mitratech专家首先审核评估反馈，无论来自定制问卷还是标准化问卷。随后我们将反馈结果映射至ISO及/或其他控制框架。最后，我们与您共同制定整改方案并全程追踪直至完成。凭借远程与现场服务选项，Mitratech以专业技术助力您利用现有资源降低风险。
5.20 x) “协议终止条款，包括记录管理、资产返还、信息及其他相关资产的安全处置，以及任何持续的保密义务；” 5.20 y)提供一种方法，确保在供应商存储的组织信息不再需要时立即安全销毁； 5.20 z)在合同结束时，确保向另一供应商或组织自身提供移交支持；	Mitratech合同生命周期管理功能确保供应商合同包含关键条款并持续追踪。自动化合同评估与离职流程——包括系统访问权限报告、数据销毁、访问管理、相关法律合规性及最终付款——可降低贵机构在合同终止后面临的风险。
5.21 信息通信技术供应链中的信息安全管理应制定并实施相关流程和程序，以管理与信息通信技术产品及服务供应链相关的信息安全风险。
5.21 b) “要求信息通信技术服务供应商在分包其为组织提供的部分信息通信技术服务时，须将该组织的安全要求贯穿整个供应链；” 5.21 c)“要求信息通信技术产品供应商在其供应链中推广适当的安全实践，若该产品包含从其他供应商或实体（例如分包软件开发商和硬件组件供应商）采购或获取的组件；” 5.21 f)“实施监控流程及可接受的方法，以验证交付的信息通信技术产品与服务是否符合既定安全要求。此类供应商审查方法的示例可包括渗透测试，以及对供应商信息安全运营的第三方认证进行验证或确认；”	Mitratech能够识别第四方与第N方分包关系通过问卷调查评估或被动扫描第三方面向公众的基础设施。生成的关系图展示了可能使您的环境面临风险的信息路径和依赖关系。对通过此流程发现的供应商进行持续监控，以识别财务、环境、社会和治理、网络、业务和数据泄露风险，并进行制裁/PEP 筛选。这种方法为解决潜在的技术或地域集中风险提供了见解。
5.21 g)“建立流程以识别并记录对维持功能至关重要的产品或服务组件，这些组件在组织外部构建时尤其需要加强关注、审查及后续跟进，特别是当供应商将产品或服务组件的部分环节转包给其他供应商时；”	Mitratech 通过捕捉、追踪和量化固有风险，使您能够根据第三方信息资产的关键性或受威胁程度对其进行评估和监控。用于计算第三方分类固有风险的标准包括：验证控件所需的内容类型对业务绩效和运营的关键性地点及相关法律或监管考虑因素对第四方的依赖程度（避免集中风险）接触过业务流程或面向客户的流程与受保护数据的交互财务状况和健康声誉通过这种固有的风险评估，您的团队可以自动对供应商进行分级；设定适当的进一步审查级别；并确定持续评估的范围。基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。
5.22 供应商服务的监控、审查与变更管理该组织应定期监测、审查、评估并管理供应商信息安全实践及服务交付中的变更。
5.22 a)“监控服务绩效水平，以验证是否符合协议要求；”	借助Mitratech平台，企业可定制调查问卷，轻松在单一风险登记册中收集并分析必要的绩效与合同数据。Mitratech会识别与服务水平协议（SLA）或绩效相关的关键合同属性，将这些要求填入平台，并为您及第三方分配任务以供追踪。
5.22 b) 监控供应商所做的变更，包括： 1) 对现有服务的增强； 2) 任何新应用程序和系统的开发； 3) 供应商政策和流程的修改或更新； 4) 为解决信息安全事件并提升信息安全水平而实施的新增或变更控制措施； 5.22 c)“监控供应商服务的变化，包括： 1) 网络变更与增强； 2) 新技术应用； 3) 新产品或新版/新版本的采用； 4) 新开发工具与环境； 5) 服务设施物理位置变更； 6) 次级供应商变更； 7) 转包给其他供应商；	Mitratech持续追踪并分析针对第三方机构的外部威胁。该解决方案通过监测互联网及暗网中的网络威胁与漏洞，同时整合公共及私有渠道的声誉信息、制裁信息和财务数据，实现全方位防护。所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告及响应措施。监测来源包括 1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司包含全球数千家公司 10 多年数据泄露历史的数据库由于并非所有威胁都是直接的网络攻击，Mitratech还整合了以下来源的数据，为网络安全发现结果提供背景信息： 550,000 个公共和私人声誉信息来源，包括并购活动、商业新闻、负面新闻、监管和法律信息、运营更新等由 200 万家企业组成的全球网络，5 年来的组织变革和财务业绩，包括营业额、损益、股东资金等。 30,000 个全球新闻来源一个包含 180 多万名政治公众人物档案的数据库全球制裁名单以及 1,000 多份全球执行名单和法院文件
5.22 e)“对供应商和次级供应商进行审核，同时审查独立审计师报告（如有），并对发现的问题采取后续措施；”	Mitratech控制验证服务通过对照既定测试协议，审查第三方评估反馈及相关文件，以验证所示控制措施是否有效实施。 Mitratech专家首先审核评估反馈，无论来自定制问卷还是标准化问卷。随后我们将反馈结果映射至ISO及/或其他控制框架。最后，我们与您共同制定整改方案并全程追踪直至完成。凭借远程与现场服务选项，Mitratech以专业技术助力您利用现有资源降低风险。
5.22 f) “提供有关信息安全事件的信息，并根据协议及任何配套指南和程序的要求审查此类信息；” 5.22 g)“审查供应商的审计追踪记录及信息安全事件记录、运营问题、故障、故障追溯以及与所提供服务相关的中断情况；” 5.22 h)“响应并管理任何已识别的信息安全事件或事故；”	Mitratech 使您的团队能够快速识别、响应、报告并减轻其影响。第三方供应商事件通过集中管理供应商、开展事件评估、对识别出的风险进行评分、关联持续网络监控数据，并获取补救指导。主要功能包括不断更新和可定制的事件和事故管理调查表实时跟踪问卷完成进度定义风险所有者，并通过自动追逐提醒，使调查如期进行主动供应商报告各供应商的风险评级、数量、评分及标记响应的综合视图工作流规则用于触发自动化操作手册，根据风险对业务的潜在影响采取相应行动。来自内置补救建议的指导，以降低风险内置报告模板绘制数据和关系图，以确定组织与第三方之间的关系，使信息路径可视化，并确定风险数据
5.22 i)“识别信息安全漏洞并进行管理；”	Mitratech持续追踪并分析针对第三方企业的外部威胁。该解决方案通过监测互联网及暗网中的网络威胁与漏洞，将监控数据与评估结果关联，并为每位供应商建立统一的风险登记册，从而优化风险审查、报告及响应流程。监测来源包括 1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司包含全球数千家公司 10 多年数据泄露历史的数据库
5.22 j)“审查供应商与其自身供应商关系中的信息安全方面”	Mitratech可通过问卷评估或被动扫描第三方公开基础设施，识别第四方及第N方分包关系。生成的关系图谱将呈现可能使您的环境面临风险的信息路径与依赖关系。对通过此流程发现的供应商进行持续监控，以识别财务、环境、社会和治理、网络、业务和数据泄露风险，并进行制裁/PEP 筛选。
5.22 k)确保供应商保持充足的服务能力，并制定可行的计划，以确保在重大服务故障或灾难发生后维持约定的服务连续性水平；	Mitratech实现第三方业务韧性与连续性的评估、持续监控、分析及整改自动化，同时自动将结果映射至ISO及其他控制框架。 Mitratech平台包含基于ISO 22301标准实践的全面业务韧性评估，使组织能够：根据供应商的风险状况和对业务的重要性对其进行分类概述恢复点目标（RPO）和恢复时间目标（RTO）集中管理系统库存、风险评估、RACI 图表和第三方确保在业务中断期间与供应商保持一致的沟通这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。
5.22 m)“定期评估供应商是否维持足够的信息安全水平；”	Mitratech通过自动化风险评估，在第三方生命周期的每个阶段，拓展您第三方风险管理计划的可视性、效率和规模。该解决方案拥有200多项标准化评估工具库，具备定制化能力，并内置工作流与补救机制，可实现从问卷收集分析到风险评级与报告的全程自动化处理。借助Mitratech，您可以轻松收集并关联各类供应商控制措施的情报，根据第三方固有风险评估确定的关键性，从而识别信息管理面临的威胁。评估与持续监控的结果汇集于单一风险登记册，通过热力图报告依据风险发生概率与影响程度进行量化分类。借助此洞察，团队可清晰预见风险后果，并为第三方提供现成的补救建议以有效降低风险。
ISO 27036-2 控制措施	我们如何提供帮助
6 供应商关系管理中的信息安全
6.1.1.1 协议流程 / 获取流程 / 目标制定供应商关系策略，该策略应：基于收款方的信息安全风险容忍度；定义了在规划、准备、管理和终止产品或服务采购时应采用的信息安全基础。 6.1.2.1 协议流程 / 供应流程 / 目标制定收单机构合作关系策略，该策略应：基于供应商的信息安全风险容忍度；定义了在规划、准备、管理和终止产品或服务供应时应采用的信息安全基准。	Mitratech与您携手合作，基于成熟的最佳实践和丰富的实际经验，构建全面的第三方风险管理（TPRM）计划，使其与您更广泛的信息安全及治理、风险与合规计划相契合。我们的专家将与您的团队协作，共同制定并实施第三方风险管理流程与解决方案；筛选风险评估问卷及框架；并根据贵组织的风险偏好，优化项目方案以覆盖整个第三方风险生命周期——从供应商遴选与尽职调查，到终止合作与退出管理。在此过程中，Mitratech可协助您定义：明确的角色和职责（如 RACI）第三方库存基于组织风险承受能力的风险评分和阈值基于第三方关键性的评估和监测方法第四方映射持续监控数据的来源（网络、业务、声誉、财务）关键绩效指标（KPI）和关键风险指标（KRI）管理保护数据的政策、标准、系统和流程针对服务水平的合规性和合同报告要求事件响应要求风险和内部利益攸关方报告风险缓解和补救战略
6.2.1 组织项目赋能流程 / 生命周期模型管理流程 a) 采购方与供应商在管理供应商关系中的信息安全时，应建立生命周期模型管理流程。	Mitratech助力消除与供应商、供货商及其他第三方合作过程中产生的安全与合规风险，覆盖整个供应商风险生命周期——从采购与甄选到退出管理及所有中间环节。
6.2.2.1 组织项目支持流程 / 基础设施管理流程 / 目标 a) 提供支持性基础设施，协助组织在供应商关系中管理信息安全。	Mitratech提供一个中央SaaS平台，通过自动化执行针对200多项行业标准（包括ISO标准）的风险评估，使收单机构与供应商能够协同降低风险。借助该平台，收单机构可获得内置的工作流与整改功能、自动化分析及报告生成能力。
6.2.2.2 组织项目支持流程 / 基础设施管理流程 / 活动 b) 制定、实施、维护并改进应急安排，以确保在自然或人为因素导致中断时，产品或服务的采购或供应能够持续进行。	Mitratech实现第三方业务韧性与连续性的评估、持续监控、分析及整改自动化，同时自动将结果映射至ISO及其他控制框架。为补充业务韧性评估并验证结果，Mitratech：自动进行持续的网络监控，预测可能对第三方业务造成的影响从超过 550,000 个公共和私人声誉信息来源中获取定性见解，这些信息可能预示着供应商的不稳定性从 200 万家企业的全球网络中获取财务信息，以确定供应商的财务健康状况或运营问题这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。 Mitratech平台包含基于ISO 22301标准实践的全面业务韧性评估，使组织能够：根据供应商的风险状况和对业务的重要性对其进行分类概述恢复点目标（RPO）和恢复时间目标（RTO）集中管理系统库存、风险评估、RACI 图表和第三方确保在业务中断期间与供应商保持一致的沟通
6.2.3.2 项目组合管理过程/活动 a) 制定、实施、维护并改进供应商或收购方的识别与分类流程，依据标准包括：向其共享信息的敏感程度，以及授予其访问供应商或收购方资产（如信息及信息系统）的权限级别；	Mitratech 通过捕捉、追踪和量化固有风险，使您能够根据第三方信息资产的关键性或受威胁程度对其进行评估和监控。用于计算第三方分类固有风险的标准包括：验证控件所需的内容类型对业务绩效和运营的关键性地点及相关法律或监管考虑因素对第四方的依赖程度（避免集中风险）接触过业务流程或面向客户的流程与受保护数据的交互财务状况和健康声誉通过这种固有的风险评估，您的团队可以自动对供应商进行分级；设定适当的进一步审查级别；并确定持续评估的范围。基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。
6.3.4.1 项目过程 / 风险管理过程 / 目标 a) 在供应商关系及其整个生命周期中持续应对信息安全风险，包括定期重新评估风险，或在发生重大业务、法律、监管、架构、政策及合同变更时进行重新评估。	Mitratech持续追踪并分析针对第三方机构的外部威胁。该解决方案通过监测互联网及暗网中的网络威胁与漏洞，同时整合公共及私有渠道的声誉信息、制裁信息和财务数据，实现全方位防护。所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告及响应措施。监测来源包括 1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司包含全球数千家公司 10 多年数据泄露历史的数据库由于并非所有威胁都是直接的网络攻击，Mitratech还整合了以下来源的数据，为网络安全发现结果提供背景信息： 550,000 个公共和私人声誉信息来源，包括并购活动、商业新闻、负面新闻、监管和法律信息、运营更新等由 200 万家企业组成的全球网络，5 年来的组织变革和财务业绩，包括营业额、损益、股东资金等。 30,000 个全球新闻来源一个包含 180 多万名政治公众人物档案的数据库全球制裁名单以及 1,000 多份全球执行名单和法院文件应制定基于信息安全实践的供应商选择政策。
6.3.7.1 项目过程 / 测量过程 / 目标 a) 收集、分析并报告与产品或服务采购或供应相关的信息安全措施，以证明供应商关系中信息安全的成熟度，并支持流程的有效管理。	Mitratech通过自动化风险评估，在第三方生命周期的每个阶段，拓展您第三方风险管理计划的可视性、效率和规模。该解决方案拥有200多项标准化评估工具库，具备定制化能力，并内置工作流与补救机制，可实现从问卷收集分析到风险评级与报告的全程自动化处理。借助Mitratech，您可以轻松收集并关联各类供应商控制措施的情报，根据第三方固有风险评估确定的关键性，从而识别信息管理面临的威胁。评估与持续监控的结果汇集于单一风险登记册，通过热力图报告依据风险发生概率与影响程度进行量化分类。借助此洞察，团队可清晰预见风险后果，并为第三方提供现成的补救建议以有效降低风险。
7 供应商关系中的信息安全实例
7.2.1 供应商选择流程/目标 a) 选择能够为拟采购的产品或服务提供充分信息安全的供应商。	Mitratech风险概况快照功能可帮助您比较和监控潜在供应商的人口统计数据、第四方技术、ESG评分、近期业务与声誉洞察、数据泄露历史及财务表现。通过该快照，您能结合RFx响应结果全面评估供应商——既考量其功能匹配度，又评估其是否符合贵机构的风险偏好。
7.3.1 供应商关系管理流程 / 目标建立并达成供应商关系协议，涵盖以下内容： — 收购方与供应商在信息安全方面的角色与职责； — 信息安全、ICT安全、人员安全及物理安全领域所需的安全控制措施； — 当产品或服务此前由非供应商方运营或制造时的过渡流程； — 信息安全变更管理； — 信息安全事件管理； — 合规性监控与执行； — 终止流程。	Mitratech平台通过自动化工作流，全面评估、管理、持续监控并修复供应商生命周期各阶段涉及的第三方安全、隐私、合规及采购/供应链相关风险。该解决方案：自动化供应商入职与离职流程供应商档案、层级、评分及其固有风险在中央档案中自动完成第四方映射与供应商人口统计数据提供规模最大的标准化和定制化风险评估库，内置工作流、任务及证据管理功能整合原生网络安全、业务、声誉及财务风险监控功能，将风险与评估结果关联，并验证发现结果。包含机器学习分析功能，用于标准化并关联来自多个来源的发现结果根据框架或法规提供合规与风险报告通过内置指导功能优化整改管理包含合同与RFx管理，以实现入职前更全面的风险管理自动化第三方事件响应
7.4.1 供应商关系管理流程 / 目标 a) 在供应商关系存续期间，应根据供应商关系协议维护信息安全，并特别注意以下事项： 4) 监督并确保供应商遵守供应商关系协议中规定的信息安全条款。	借助Mitratech平台，收购方能够将基于控制的评估所收集的信息自动映射至监管框架（包括ISO及其他众多标准），从而在供应商生命周期的每个阶段快速可视化并处理关键合规要求。
7.5.1 供应商关系终止流程 / 目标 a) 在终止期间保护产品或服务供应，避免终止通知后产生任何信息安全、法律及监管影响； b) 根据终止计划终止产品或服务的供应。	Mitratech平台通过自动化合同评估与离职流程，有效降低贵机构在合同终止后面临的风险敞口。安排审查合同的任务，确保履行所有义务。发布可定制的合同评估，以评估状态。利用可定制的调查和工作流程，报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。集中存储和管理文件与认证，如 NDA、SLA、SOW 和合同。利用基于 AWS 自然语言处理和机器学习分析的内置自动文档分析功能，确认关键标准已得到满足。通过内置的补救建议和指导，采取可行措施降低供应商风险。通过将评估结果自动映射到任何法规或框架，可视化并满足合规要求。

ISO 27001 控制措施

我们如何提供帮助

5 组织控制

5.1 信息安全政策

信息安全政策及专题政策应予以制定，经管理层批准后发布，传达给相关人员及相关利益方并获得其确认，同时应按计划周期进行审查，并在发生重大变更时及时修订。

5.2 信息安全职责分工

信息安全职责应根据组织需求进行定义和分配。

Mitratech与您携手合作，基于成熟的最佳实践和丰富的实际经验，构建全面的第三方风险管理（TPRM）计划，该计划将与您更广泛的信息安全、网络安全及隐私保护计划相协调。

我们的专家将与您的团队协作，共同制定并实施第三方风险管理流程与解决方案；筛选风险评估问卷及框架；并根据贵组织的风险偏好，优化您的项目以覆盖整个第三方风险生命周期——从供应商选择与尽职调查，到终止合作与退出管理。

在此过程中，Mitratech可协助您定义：

明确的角色和职责（如 RACI）
第三方库存
基于组织风险承受能力的风险评分和阈值
基于第三方关键性的评估和监测方法
第四方映射
持续监控数据的来源（网络、业务、声誉、财务）
关键绩效指标（KPI）和关键风险指标（KRI）
管理保护数据的政策、标准、系统和流程
针对服务水平的合规性和合同报告要求
事件响应要求
风险和内部利益攸关方报告
风险缓解和补救战略

5.7 威胁情报

“应收集并分析与信息安全威胁相关的信息，以生成威胁情报。”

Mitratech持续追踪并分析对第三方的外部威胁该解决方案通过监控互联网和暗网中的网络威胁与漏洞，以及公共和私有来源的声誉、制裁和财务信息，实现全面防护。

监测来源包括

1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司
包含全球数千家公司 10 多年数据泄露历史的数据库

所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告及响应措施。

5.11 资产返还

人员及其他相关方在变更或终止雇佣关系、合同或协议时，应归还其持有的本组织所有资产。

当关键服务需要终止或退出时，Mitratech通过可定制的调查问卷和工作流，对系统访问权限、数据销毁、访问管理、相关法律合规性、最终付款等事项进行报告。该解决方案还会根据离职评估的回答结果提出行动建议，并在必要时将任务分派给审核人员。

5.19 供应商关系中的信息安全

应制定并实施相关流程和程序，以管理使用供应商产品或服务所涉及的信息安全风险。

Mitratech提供超过200个预制模板库，包括专用的ISO问卷。评估信息安全风险与第三方相关联。

评估工作在Mitratech TPRM平台中集中管理。该平台依托工作流、任务管理及自动化证据审查功能，确保在整个供应商关系中实现第三方风险的可视化管理。

重要的是，Mitratech根据风险评估结果提供内置的整改建议，确保第三方能够及时且妥善地处理风险。

对于资源和专业知识有限的组织，Mitratech可代为管理第三方风险全生命周期——从供应商入驻和证据收集，到提供整改指导及合同服务水平协议（SLA）报告。由此，您既能降低供应商风险、简化合规流程，又无需增加内部员工负担。

5.20 在供应商协议中处理信息安全问题

应根据供应商关系的类型，与每位供应商建立并达成相关信息安全要求。

Mitratech集中管理文件的分发、讨论、归档和审查。供应商合同它还提供工作流功能，能够自动化管理从入职到离职的整个合同生命周期。

主要功能包括

集中跟踪所有合同和合同属性，如类型、关键日期、价值、提醒和状态，并提供基于角色的自定义视图
工作流程功能（基于用户或合同类型），实现合同管理生命周期自动化
自动提醒和逾期通知，以简化合同审查
集中合同讨论和意见跟踪
合同和文件存储，具有基于角色的权限，并对所有访问进行审计跟踪
支持离线合同和文件编辑的版本控制跟踪
基于角色的权限，可分配职责、访问合同和读/写/修改访问权限

5.21 信息通信技术（ICT）供应链中的信息安全管理

“应制定并实施相关流程和程序，以管理与信息通信技术产品及服务供应链相关的信息安全风险。”

Mitratech依据ISO最佳实践及其他信息安全控制框架标准化评估流程，为内部审计与IT安全团队提供统一平台，用于衡量并证明其对安全软件开发及软件开发生命周期（SDLC）实践的遵循程度。

5.22 供应商服务的监控、审查与变更管理

该组织应定期监测、审查、评估并管理供应商信息安全实践及服务交付中的变更。

Mitratech持续追踪并分析针对第三方机构的外部威胁。该解决方案通过监测互联网及暗网中的网络威胁与漏洞，同时整合公共及私有渠道的声誉信息、制裁信息和财务数据，实现全方位防护。

监测来源包括

1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司
包含全球数千家公司 10 多年数据泄露历史的数据库

所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告及响应措施。

5.23 云服务使用中的信息安全

“应根据组织的信息安全要求，建立云服务的获取、使用、管理及退出流程。”

Mitratech对评估进行标准化处理 SOC 2网络安全基础、ISO及其他信息安全控制框架，针对云服务要求提供关键控制评估。

这些评估同样用于在终止云服务时评估信息安全控制措施。

5.24 信息安全事件管理规划与准备

该组织应通过定义、建立并传达信息安全事件管理流程、角色与职责，规划并准备管理信息安全事件。

5.25 信息安全事件的评估与决策

该组织应评估信息安全事件，并决定是否将其归类为信息安全事件。

5.26 信息安全事件响应

“信息安全事件应按照文件化的程序进行响应。”

5.28 证据收集

该组织应制定并实施程序，用于识别、收集、获取和保存与信息安全事件相关的证据。

Mitratech通过集中管理供应商、执行事件评估、对识别风险进行评分、关联持续网络监控数据以及获取补救指导，助力您的团队快速识别、响应、报告并减轻第三方供应商事件的影响。

主要功能包括

不断更新和可定制的事件和事故管理调查表
实时跟踪问卷完成进度
定义风险所有者，并通过自动追逐提醒，使调查如期进行
主动供应商报告
各供应商的风险评级、数量、评分及标记响应的综合视图
工作流规则用于触发自动化操作手册，根据风险对业务的潜在影响采取相应行动。
来自内置补救建议的指导，以降低风险
内置报告模板
绘制数据和关系图，以确定组织与第三方之间的关系，使信息路径可视化，并确定风险数据

5.30 信息通信技术在业务连续性中的准备情况

“信息通信技术就绪性应基于业务连续性目标和信息通信技术连续性要求进行规划、实施、维护和测试。”

Mitratech实现第三方业务韧性与连续性的评估、持续监控、分析及整改自动化，同时自动将结果映射至ISO及其他控制框架。

为补充业务韧性评估并验证结果，Mitratech：

自动进行持续的网络监控，预测可能对第三方业务造成的影响
从超过 550,000 个公共和私人声誉信息来源中获取定性见解，这些信息可能预示着供应商的不稳定性
从 200 万家企业的全球网络中获取财务信息，以确定供应商的财务健康状况或运营问题

这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。

Mitratech平台包含基于ISO 22301标准实践的全面业务韧性评估，使组织能够：

根据供应商的风险状况和对业务的重要性对其进行分类
概述恢复点目标（RPO）和恢复时间目标（RTO）
集中管理系统库存、风险评估、RACI 图表和第三方
确保在业务中断期间与供应商保持一致的沟通

5.31 法律、法规、监管及合同要求

“与信息安全相关的法律、法规、监管及合同要求，以及组织为满足这些要求所采取的方法，应予以识别、记录并保持最新状态。”

Mitratech集中管理供应商合同的分发、讨论、归档与审核流程，同时提供工作流功能，实现从签约到终止的全周期合同自动化管理。

主要功能包括

集中跟踪所有合同和合同属性，如类型、关键日期、价值、提醒和状态，并提供基于角色的自定义视图
工作流程功能（基于用户或合同类型），实现合同管理生命周期自动化
自动提醒和逾期通知，以简化合同审查
集中合同讨论和意见跟踪
合同和文件存储，具有基于角色的权限，并对所有访问进行审计跟踪
支持离线合同和文件编辑的版本控制跟踪
基于角色的权限，可分配职责、访问合同和读/写/修改访问权限

5.34 隐私与个人可识别信息（PII）的保护

该组织应根据适用法律法规及合同要求，识别并满足有关隐私保护及个人身份信息（PII）保护的要求。

Mitratech提供了一个集中化的协作平台，用于开展隐私评估并减轻第三方和内部隐私风险。关键数据安全与隐私评估能力包括：

定期评估和绘制关系图，以揭示个人数据的存在位置、共享位置和访问权限--所有这些都汇总在风险登记册中，以突出关键风险点
隐私影响评估，以发现存在风险的业务数据和个人身份信息 (PII)
通过Mitratech合规框架对供应商进行GDPR及其他隐私法规评估——通过将识别出的风险映射至具体控制措施，揭示潜在风险热点
GDPR 风险和应对措施与控制措施的映射。包括合规百分比评级和特定利益相关者报告。
包含数千家公司 10 多年数据泄露历史的数据库--包括被盗数据的类型和数量、合规性和监管问题，以及实时供应商数据泄露通知
集中入职、分发、讨论、保留和审查供应商合同--确保从合作关系一开始就执行数据保护规定

5.36 遵守信息安全政策、规则和标准

“应定期审查对组织信息安全政策、专题政策、规则和标准的遵守情况。”

借助Mitratech，审计人员能够建立一套高效实现并证明合规性的方案。该解决方案实现了自动化处理。第三方风险管理合规性审计通过收集供应商风险信息、量化风险、提出补救建议，并为数十项政府法规和行业框架生成报告。

Mitratech能自动将基于控制的评估所收集的信息映射至ISO 27001、NIST、GDPR、CoBiT 5、SSAE 18、SIG、SIG Lite、SOX、NYDFS等监管框架，助您快速可视化并满足关键合规要求。

ISO 27002 控制措施

我们如何提供帮助

5.19 供应商关系中的信息安全

应制定并实施相关流程和程序，以管理使用供应商产品或服务所涉及的信息安全风险。

5.19 a) “识别并记录可能影响组织信息保密性、完整性和可用性的各类供应商（例如：信息通信技术服务、物流、公用事业、金融服务、信息通信技术基础设施组件）。”

5.19 e)“界定供应商提供的可能影响组织信息保密性、完整性和可用性的信息通信技术基础设施组件及服务类型；”

Mitratech平台使组织能够根据供应商的信用评级自动分层管理。固有风险评分设定适当的尽职调查标准，并确定持续评估的范围。

企业还可基于数据交互、财务、监管及声誉等多重考量，运用基于规则的逻辑对供应商进行分类。

5.19 b)“根据信息、产品和服务的敏感性确定如何评估和选择供应商（例如通过市场分析、客户参考、文件审查、现场评估、认证等方式）”；

Mitratech将提案请求（RFP）和信息请求（RFI）的分发、比较及管理集中化并自动化处理，作为其解决方案的一部分。供应商选择决策。

Mitratech将每家选定的供应商推进至签约和/或入职尽职调查阶段，自动引导供应商完成第三方生命周期。

Mitratech提供超过200个预构建模板库，用于持续开展第三方风险评估。这些模板与原生网络安全、业务、声誉及财务风险监控能力深度集成，能够持续验证评估结果，并填补评估间隔期的风险盲区。

内置的补救建议可确保第三方及时、满意地处理风险。

5.19 c)“评估和选择具备充分信息安全控制措施的供应商产品或服务，并对这些措施进行审查；特别是审查供应商实施的控制措施的准确性和完整性，这些措施确保供应商信息及其信息处理的完整性，从而保障组织的信息安全；”

Mitratech风险概况快照功能可帮助您比较和监控潜在供应商的人口统计数据、第四方技术、ESG评分、近期业务与声誉洞察、数据泄露历史及财务表现。通过该快照，您能结合RFx响应结果全面评估供应商——既考量其功能匹配度，又评估其是否符合贵机构的风险偏好。

5.19 克) “监控各类供应商及各类访问权限对既定信息安全要求的合规性，包括第三方审查和产品验证；”

5.19 h)减轻供应商的不合规行为，无论该行为是通过监控还是其他方式发现的；

借助Mitratech，审计人员可建立高效实现并证明合规性的方案。该解决方案通过收集供应商风险信息、量化风险、提出整改建议并生成符合数十项政府法规和行业框架的报告，实现了第三方风险管理合规审计的自动化。

Mitratech将基于控制的评估所收集的信息自动映射至ISO及其他监管框架，并通过持续监控进行验证，助您快速可视化并处理关键合规要求。

5.19 i)“处理与供应商产品和服务相关的事件和突发情况，包括组织和供应商双方的责任；”

Mitratech第三方事件响应服务通过集中管理供应商、开展事件评估、对识别风险进行评分以及获取补救指导，使您能够快速识别并减轻供应链安全漏洞的影响。

5.19 j)“弹性措施，以及在必要时采取恢复和应急措施，以确保供应商信息及信息处理的可用性，从而保障组织信息的可用性；”

Mitratech实现对以下环节的自动化处理：评估、持续监控、分析及整改。第三方业务韧性以及连续性——同时自动将结果映射到ISO及其他控制框架。

为补充业务韧性评估并验证结果，Mitratech：

自动进行持续的网络监控，预测可能对第三方业务造成的影响
从超过 550,000 个公共和私人声誉信息来源中获取定性见解，这些信息可能预示着供应商的不稳定性
从 200 万家企业的全球网络中获取财务信息，以确定供应商的财务健康状况或运营问题

这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。

Mitratech平台包含基于ISO 22301标准实践的全面业务韧性评估，使组织能够：

根据供应商的风险状况和对业务的重要性对其进行分类
概述恢复点目标（RPO）和恢复时间目标（RTO）
集中管理系统库存、风险评估、RACI 图表和第三方
在业务中断期间确保与供应商保持持续沟通。

5.19 米) 确保供应商关系安全终止的要求，包括：

1) 访问权限的撤销；
2) 信息处理；
3) 确定合作期间产生的知识产权归属；
4) 供应商变更或内部化时的信息可移植性；
6) 记录管理；
7) 资产归还；
8) 信息及其他相关资产的安全处置；
9) 持续保密要求

Mitratech平台通过自动化合同评估与离职流程，有效降低贵机构在合同终止后面临的风险敞口。

安排审查合同的任务，确保履行所有义务。发布可定制的合同评估，以评估状态。
利用可定制的调查和工作流程，报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。
集中存储和管理文件与认证，如 NDA、SLA、SOW 和合同。利用基于 AWS 自然语言处理和机器学习分析的内置自动文档分析功能，确认关键标准已得到满足。
通过内置的补救建议和指导，采取可行措施降低供应商风险。
通过将评估结果自动映射到任何法规或框架，可视化并满足合规要求。

5.20 在供应商协议中处理安全问题

应根据供应商关系的类型，与每位供应商建立并达成相关信息安全要求。

5.20 d)“法律、法规、监管及合同要求，包括数据保护、个人身份信息（PII）处理、知识产权及版权，并说明如何确保其得到满足；”

Mitratech集中管理文件的分发、讨论、归档和审查。供应商合同确保供应商合同中包含关键条款，并持续进行跟踪。

主要功能包括

集中跟踪所有合同和合同属性，如类型、关键日期、价值、提醒和状态，并提供基于角色的自定义视图
工作流程功能（基于用户或合同类型），实现合同管理生命周期自动化
自动提醒和逾期通知，以简化合同审查
集中合同讨论和意见跟踪
合同和文件存储，具有基于角色的权限，并对所有访问进行审计跟踪
支持离线合同和文件编辑的版本控制跟踪
基于角色的权限，可分配职责、访问合同和读/写/修改访问权限

5.20 e)“各合同方实施商定控制措施的义务，包括访问控制、绩效评估、监控、报告和审计，以及供应商遵守组织信息安全要求的义务；”

Mitratech解决方案支持基于内部控制的评估（采用ISO行业标准框架和/或定制问卷）。该平台内置工作流功能，使评估人员能在尽职调查收集与审查阶段高效对接第三方。强大的报告与审计功能为各级管理层提供必要信息，确保其能准确评估第三方绩效表现。

企业可针对网络安全、服务水平协议（SLA）履行情况及其他议题对第三方进行评估，并将评估结果与持续外部监控的成果关联，从而全面掌握风险状况。

5.20 h) “关于供应商信息通信技术基础设施的信息安全要求；特别是针对各类信息及各类访问权限的最低信息安全要求，这些要求将作为依据组织业务需求和风险标准制定个别供应商协议的基础；”

5.20 i)“承包商未能满足要求时的赔偿与补救措施；”

Mitratech提供了一个用于集中测量的框架。第三方关键绩效指标（KPI）和关键风险指标（KRI）通过内置机器学习（ML）洞察和可定制的角色化报告，确保符合您的要求并缩小供应商监督的差距。

这些功能可帮助您的团队发现风险与绩效趋势，评估第三方风险状况，并识别可能需要进一步调查的异常行为。

内置的补救建议可确保第三方及时、满意地处理风险。

5.20 j)“事件管理要求和程序（特别是事件修复期间的通知与协作）”；

Mitratech 使您的团队能够快速识别、响应、报告并减轻其影响。第三方供应商安全事件作为你更广泛的事件管理策略.

凭借这些洞察，您的团队能够更清晰地掌握事件的范围与影响；了解涉及哪些数据；判断第三方运营是否受到波及；并确认补救措施完成的时间节点——这一切都可通过借助Mitratech专家团队的资源实现。

5.20 l)“分包的相关规定，包括需实施的管控措施，例如关于使用分包供应商的协议（如要求分包供应商承担与供应商相同的义务、要求提供分包供应商名单并在变更前进行通知）；”

Mitratech可通过问卷评估或被动扫描第三方公开基础设施，识别第四方及第N方分包关系。生成的关系图谱将呈现可能使您的环境面临风险的信息路径与依赖关系。

对通过此流程发现的供应商进行持续监控，以识别财务、环境、社会和治理、网络、业务和数据泄露风险，并进行制裁/PEP 筛选。

这种方法为解决潜在的技术或地域集中风险提供了见解。

5.20 o) “供应商流程相关信息安全要求的第三方证明机制及其证据，以及关于控制措施有效性的独立报告；”

5.20 q)“供应商定期提交控制措施有效性报告的义务，以及就报告中提出的相关问题及时纠正的协议；”

米特雷科技控制验证服务根据既定的测试规程，审查第三方评估响应及相关文件，以验证所示控制措施是否到位。

Mitratech专家首先审核评估反馈，无论来自定制问卷还是标准化问卷。随后我们将反馈结果映射至ISO及/或其他控制框架。最后，我们与您共同制定整改方案并全程追踪直至完成。凭借远程与现场服务选项，Mitratech以专业技术助力您利用现有资源降低风险。

5.20 x) “协议终止条款，包括记录管理、资产返还、信息及其他相关资产的安全处置，以及任何持续的保密义务；”

5.20 y)提供一种方法，确保在供应商存储的组织信息不再需要时立即安全销毁；

5.20 z)在合同结束时，确保向另一供应商或组织自身提供移交支持；

Mitratech合同生命周期管理功能确保供应商合同包含关键条款并持续追踪。自动化合同评估与离职流程——包括系统访问权限报告、数据销毁、访问管理、相关法律合规性及最终付款——可降低贵机构在合同终止后面临的风险。

5.21 信息通信技术供应链中的信息安全管理

应制定并实施相关流程和程序，以管理与信息通信技术产品及服务供应链相关的信息安全风险。

5.21 b) “要求信息通信技术服务供应商在分包其为组织提供的部分信息通信技术服务时，须将该组织的安全要求贯穿整个供应链；”

5.21 c)“要求信息通信技术产品供应商在其供应链中推广适当的安全实践，若该产品包含从其他供应商或实体（例如分包软件开发商和硬件组件供应商）采购或获取的组件；”

5.21 f)“实施监控流程及可接受的方法，以验证交付的信息通信技术产品与服务是否符合既定安全要求。此类供应商审查方法的示例可包括渗透测试，以及对供应商信息安全运营的第三方认证进行验证或确认；”

Mitratech能够识别第四方与第N方分包关系通过问卷调查评估或被动扫描第三方面向公众的基础设施。

生成的关系图展示了可能使您的环境面临风险的信息路径和依赖关系。

对通过此流程发现的供应商进行持续监控，以识别财务、环境、社会和治理、网络、业务和数据泄露风险，并进行制裁/PEP 筛选。

这种方法为解决潜在的技术或地域集中风险提供了见解。

5.21 g)“建立流程以识别并记录对维持功能至关重要的产品或服务组件，这些组件在组织外部构建时尤其需要加强关注、审查及后续跟进，特别是当供应商将产品或服务组件的部分环节转包给其他供应商时；”

Mitratech 通过捕捉、追踪和量化固有风险，使您能够根据第三方信息资产的关键性或受威胁程度对其进行评估和监控。用于计算第三方分类固有风险的标准包括：

验证控件所需的内容类型
对业务绩效和运营的关键性
地点及相关法律或监管考虑因素
对第四方的依赖程度（避免集中风险）
接触过业务流程或面向客户的流程
与受保护数据的交互
财务状况和健康
声誉

通过这种固有的风险评估，您的团队可以自动对供应商进行分级；设定适当的进一步审查级别；并确定持续评估的范围。

基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。

5.22 供应商服务的监控、审查与变更管理

该组织应定期监测、审查、评估并管理供应商信息安全实践及服务交付中的变更。

5.22 a)“监控服务绩效水平，以验证是否符合协议要求；”

借助Mitratech平台，企业可定制调查问卷，轻松在单一风险登记册中收集并分析必要的绩效与合同数据。Mitratech会识别与服务水平协议（SLA）或绩效相关的关键合同属性，将这些要求填入平台，并为您及第三方分配任务以供追踪。

5.22 b) 监控供应商所做的变更，包括：

1) 对现有服务的增强；
2) 任何新应用程序和系统的开发；
3) 供应商政策和流程的修改或更新；
4) 为解决信息安全事件并提升信息安全水平而实施的新增或变更控制措施；

5.22 c)“监控供应商服务的变化，包括：

1) 网络变更与增强；
2) 新技术应用；
3) 新产品或新版/新版本的采用；
4) 新开发工具与环境；
5) 服务设施物理位置变更；
6) 次级供应商变更；
7) 转包给其他供应商；

所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告及响应措施。

监测来源包括

1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司
包含全球数千家公司 10 多年数据泄露历史的数据库

由于并非所有威胁都是直接的网络攻击，Mitratech还整合了以下来源的数据，为网络安全发现结果提供背景信息：

550,000 个公共和私人声誉信息来源，包括并购活动、商业新闻、负面新闻、监管和法律信息、运营更新等
由 200 万家企业组成的全球网络，5 年来的组织变革和财务业绩，包括营业额、损益、股东资金等。
30,000 个全球新闻来源
一个包含 180 多万名政治公众人物档案的数据库
全球制裁名单以及 1,000 多份全球执行名单和法院文件

5.22 e)“对供应商和次级供应商进行审核，同时审查独立审计师报告（如有），并对发现的问题采取后续措施；”

Mitratech控制验证服务通过对照既定测试协议，审查第三方评估反馈及相关文件，以验证所示控制措施是否有效实施。

5.22 f) “提供有关信息安全事件的信息，并根据协议及任何配套指南和程序的要求审查此类信息；”

5.22 g)“审查供应商的审计追踪记录及信息安全事件记录、运营问题、故障、故障追溯以及与所提供服务相关的中断情况；”

5.22 h)“响应并管理任何已识别的信息安全事件或事故；”

Mitratech 使您的团队能够快速识别、响应、报告并减轻其影响。第三方供应商事件通过集中管理供应商、开展事件评估、对识别出的风险进行评分、关联持续网络监控数据，并获取补救指导。

主要功能包括

不断更新和可定制的事件和事故管理调查表
实时跟踪问卷完成进度
定义风险所有者，并通过自动追逐提醒，使调查如期进行
主动供应商报告
各供应商的风险评级、数量、评分及标记响应的综合视图
工作流规则用于触发自动化操作手册，根据风险对业务的潜在影响采取相应行动。
来自内置补救建议的指导，以降低风险
内置报告模板
绘制数据和关系图，以确定组织与第三方之间的关系，使信息路径可视化，并确定风险数据

5.22 i)“识别信息安全漏洞并进行管理；”

Mitratech持续追踪并分析针对第三方企业的外部威胁。该解决方案通过监测互联网及暗网中的网络威胁与漏洞，将监控数据与评估结果关联，并为每位供应商建立统一的风险登记册，从而优化风险审查、报告及响应流程。

监测来源包括

1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司
包含全球数千家公司 10 多年数据泄露历史的数据库

5.22 j)“审查供应商与其自身供应商关系中的信息安全方面”

对通过此流程发现的供应商进行持续监控，以识别财务、环境、社会和治理、网络、业务和数据泄露风险，并进行制裁/PEP 筛选。

5.22 k)确保供应商保持充足的服务能力，并制定可行的计划，以确保在重大服务故障或灾难发生后维持约定的服务连续性水平；

Mitratech实现第三方业务韧性与连续性的评估、持续监控、分析及整改自动化，同时自动将结果映射至ISO及其他控制框架。

Mitratech平台包含基于ISO 22301标准实践的全面业务韧性评估，使组织能够：

根据供应商的风险状况和对业务的重要性对其进行分类
概述恢复点目标（RPO）和恢复时间目标（RTO）
集中管理系统库存、风险评估、RACI 图表和第三方
确保在业务中断期间与供应商保持一致的沟通

这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。

5.22 m)“定期评估供应商是否维持足够的信息安全水平；”

Mitratech通过自动化风险评估，在第三方生命周期的每个阶段，拓展您第三方风险管理计划的可视性、效率和规模。

该解决方案拥有200多项标准化评估工具库，具备定制化能力，并内置工作流与补救机制，可实现从问卷收集分析到风险评级与报告的全程自动化处理。

借助Mitratech，您可以轻松收集并关联各类供应商控制措施的情报，根据第三方固有风险评估确定的关键性，从而识别信息管理面临的威胁。

评估与持续监控的结果汇集于单一风险登记册，通过热力图报告依据风险发生概率与影响程度进行量化分类。借助此洞察，团队可清晰预见风险后果，并为第三方提供现成的补救建议以有效降低风险。

ISO 27036-2 控制措施

我们如何提供帮助

6 供应商关系管理中的信息安全

6.1.1.1 协议流程 / 获取流程 / 目标

制定供应商关系策略，该策略应：

基于收款方的信息安全风险容忍度；
定义了在规划、准备、管理和终止产品或服务采购时应采用的信息安全基础。

6.1.2.1 协议流程 / 供应流程 / 目标

制定收单机构合作关系策略，该策略应：

基于供应商的信息安全风险容忍度；
定义了在规划、准备、管理和终止产品或服务供应时应采用的信息安全基准。

Mitratech与您携手合作，基于成熟的最佳实践和丰富的实际经验，构建全面的第三方风险管理（TPRM）计划，使其与您更广泛的信息安全及治理、风险与合规计划相契合。

我们的专家将与您的团队协作，共同制定并实施第三方风险管理流程与解决方案；筛选风险评估问卷及框架；并根据贵组织的风险偏好，优化项目方案以覆盖整个第三方风险生命周期——从供应商遴选与尽职调查，到终止合作与退出管理。

在此过程中，Mitratech可协助您定义：

明确的角色和职责（如 RACI）
第三方库存
基于组织风险承受能力的风险评分和阈值
基于第三方关键性的评估和监测方法
第四方映射
持续监控数据的来源（网络、业务、声誉、财务）
关键绩效指标（KPI）和关键风险指标（KRI）
管理保护数据的政策、标准、系统和流程
针对服务水平的合规性和合同报告要求
事件响应要求
风险和内部利益攸关方报告
风险缓解和补救战略

6.2.1 组织项目赋能流程 / 生命周期模型管理流程

a) 采购方与供应商在管理供应商关系中的信息安全时，应建立生命周期模型管理流程。

Mitratech助力消除与供应商、供货商及其他第三方合作过程中产生的安全与合规风险，覆盖整个供应商风险生命周期——从采购与甄选到退出管理及所有中间环节。

6.2.2.1 组织项目支持流程 / 基础设施管理流程 / 目标

a) 提供支持性基础设施，协助组织在供应商关系中管理信息安全。

Mitratech提供一个中央SaaS平台，通过自动化执行针对200多项行业标准（包括ISO标准）的风险评估，使收单机构与供应商能够协同降低风险。借助该平台，收单机构可获得内置的工作流与整改功能、自动化分析及报告生成能力。

6.2.2.2 组织项目支持流程 / 基础设施管理流程 / 活动

b) 制定、实施、维护并改进应急安排，以确保在自然或人为因素导致中断时，产品或服务的采购或供应能够持续进行。

Mitratech实现第三方业务韧性与连续性的评估、持续监控、分析及整改自动化，同时自动将结果映射至ISO及其他控制框架。

为补充业务韧性评估并验证结果，Mitratech：

自动进行持续的网络监控，预测可能对第三方业务造成的影响
从超过 550,000 个公共和私人声誉信息来源中获取定性见解，这些信息可能预示着供应商的不稳定性
从 200 万家企业的全球网络中获取财务信息，以确定供应商的财务健康状况或运营问题

这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。

Mitratech平台包含基于ISO 22301标准实践的全面业务韧性评估，使组织能够：

根据供应商的风险状况和对业务的重要性对其进行分类
概述恢复点目标（RPO）和恢复时间目标（RTO）
集中管理系统库存、风险评估、RACI 图表和第三方
确保在业务中断期间与供应商保持一致的沟通

6.2.3.2 项目组合管理过程/活动

a) 制定、实施、维护并改进供应商或
收购方的识别与分类流程，依据标准包括：向其共享信息的敏感程度，以及授予其访问供应商或收购方资产（如信息及信息系统）的权限级别；

验证控件所需的内容类型
对业务绩效和运营的关键性
地点及相关法律或监管考虑因素
对第四方的依赖程度（避免集中风险）
接触过业务流程或面向客户的流程
与受保护数据的交互
财务状况和健康
声誉

通过这种固有的风险评估，您的团队可以自动对供应商进行分级；设定适当的进一步审查级别；并确定持续评估的范围。

基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。

6.3.4.1 项目过程 / 风险管理过程 / 目标

a) 在供应商关系及其整个生命周期中持续应对信息安全风险，包括定期重新评估风险，或在发生重大业务、法律、监管、架构、政策及合同变更时进行重新评估。

所有监控数据均与评估结果相关联，并集中存储于每个供应商的统一风险登记册中，从而简化风险审查、报告及响应措施。

监测来源包括

1,500 多个犯罪论坛；数千个洋葱页面；80 多个暗网特殊访问论坛；65 多个威胁源；50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库，覆盖 55 万家公司
包含全球数千家公司 10 多年数据泄露历史的数据库

由于并非所有威胁都是直接的网络攻击，Mitratech还整合了以下来源的数据，为网络安全发现结果提供背景信息：

550,000 个公共和私人声誉信息来源，包括并购活动、商业新闻、负面新闻、监管和法律信息、运营更新等
由 200 万家企业组成的全球网络，5 年来的组织变革和财务业绩，包括营业额、损益、股东资金等。
30,000 个全球新闻来源
一个包含 180 多万名政治公众人物档案的数据库
全球制裁名单以及 1,000 多份全球执行名单和法院文件

应制定基于信息安全实践的供应商选择政策。

6.3.7.1 项目过程 / 测量过程 / 目标

a) 收集、分析并报告与产品或服务采购或供应相关的信息安全措施，以证明供应商关系中信息安全的成熟度，并支持流程的有效管理。

Mitratech通过自动化风险评估，在第三方生命周期的每个阶段，拓展您第三方风险管理计划的可视性、效率和规模。

该解决方案拥有200多项标准化评估工具库，具备定制化能力，并内置工作流与补救机制，可实现从问卷收集分析到风险评级与报告的全程自动化处理。

借助Mitratech，您可以轻松收集并关联各类供应商控制措施的情报，根据第三方固有风险评估确定的关键性，从而识别信息管理面临的威胁。

7 供应商关系中的信息安全实例

7.2.1 供应商选择流程/目标

a) 选择能够为拟采购的产品或服务提供充分信息安全的供应商。

7.3.1 供应商关系管理流程 / 目标

建立并达成供应商关系协议，涵盖以下内容：
— 收购方与供应商在信息安全方面的角色与职责；
— 信息安全、ICT安全、人员安全及物理安全领域所需的安全控制措施；
— 当产品或服务此前由非供应商方运营或制造时的过渡流程；
— 信息安全变更管理；
— 信息安全事件管理；
— 合规性监控与执行；
— 终止流程。

Mitratech平台通过自动化工作流，全面评估、管理、持续监控并修复供应商生命周期各阶段涉及的第三方安全、隐私、合规及采购/供应链相关风险。该解决方案：

自动化供应商入职与离职流程
供应商档案、层级、评分及其固有风险
在中央档案中自动完成第四方映射与供应商人口统计数据
提供规模最大的标准化和定制化风险评估库，内置工作流、任务及证据管理功能
整合原生网络安全、业务、声誉及财务风险监控功能，将风险与评估结果关联，并验证发现结果。
包含机器学习分析功能，用于标准化并关联来自多个来源的发现结果
根据框架或法规提供合规与风险报告
通过内置指导功能优化整改管理
包含合同与RFx管理，以实现入职前更全面的风险管理
自动化第三方事件响应

7.4.1 供应商关系管理流程 / 目标

a) 在供应商关系存续期间，应根据供应商关系协议维护信息安全，并特别注意以下事项：

4) 监督并确保供应商遵守供应商关系协议中规定的信息安全条款。

借助Mitratech平台，收购方能够将基于控制的评估所收集的信息自动映射至监管框架（包括ISO及其他众多标准），从而在供应商生命周期的每个阶段快速可视化并处理关键合规要求。

7.5.1 供应商关系终止流程 / 目标

a) 在终止期间保护产品或服务供应，避免终止通知后产生任何信息安全、法律及监管影响；

b) 根据终止计划终止产品或服务的供应。

Mitratech平台通过自动化合同评估与离职流程，有效降低贵机构在合同终止后面临的风险敞口。

安排审查合同的任务，确保履行所有义务。发布可定制的合同评估，以评估状态。
利用可定制的调查和工作流程，报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。
集中存储和管理文件与认证，如 NDA、SLA、SOW 和合同。利用基于 AWS 自然语言处理和机器学习分析的内置自动文档分析功能，确认关键标准已得到满足。
通过内置的补救建议和指导，采取可行措施降低供应商风险。
通过将评估结果自动映射到任何法规或框架，可视化并满足合规要求。

ISO合规的后续步骤

本文所述的ISO标准要求对第三方供应商的安全风险和数据隐私进行严格管理和追踪。具体规定如下：

应制定基于信息安全实践的供应商选择政策。
应制定风险管理政策
该政策应纳入供应商协议中。
供应商应按照约定要求进行管理和审核。

建立强大的信息安全管理体系是供应商生命周期管理的重要环节，需要全面掌握内部控制措施，并对所有第三方进行持续监控。这无法仅通过简单的外部自动化扫描或电子表格实现。Mitratech提供的统一平台能够有效审计供应商安全控制措施，确保符合ISO标准。

立即联系我们获取个性化演示，或下载《ISO第三方合规检查清单》，了解Mitratech如何满足您的ISO认证需求。

编者按：本文最初发表于Prevalent.net。2024 年 10 月，Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后，我们对内容进行了更新，以纳入与我们的产品、监管变化和合规性相一致的信息。

行业解决方案

如何满足 ISO 第三方风险管理要求

ISO 27001与第三方风险管理

ISO 27002与第三方风险管理

ISO 27036-2 及第三方风险管理

ISO第三方风险管理要求

通过Mitratech TPRM平台满足ISO第三方指导要求

ISO合规的后续步骤