Shared Assessments 本周在伦敦举行了首次国际圆桌会议,我有幸参加了此次会议。参加此次活动的有领先的金融服务公司和服务提供商。此次活动是由德意志银行美洲区首席信息安全官、共享评估成员 Lin Lu 领导的共享评估国际小组委员会在其伦敦办事处主办的。首次活动强调了英国地区对共享评估的教育和标准领导力的需求。
虽然共享评估的许多成员都是全球性公司,但该计划本身主要集中在美国。鉴于美国和欧洲公司都面临新的法规和不断变化的隐私要求,这次对话非常精彩,也非常及时。事实上,就在活动当天,安全港被有效废除,欧洲监管机构可以对发送到美国的数据进行更多监督。
会议讨论了多个主题,包括提高效率和降低成本的目标、对欧洲企业非常重要的主要监管机构、第三方安全管理与合规管理之间的区别,以及利益相关者的参与(根据当地的数据管理规则可能有所不同)。有几个话题非常突出,是英国第三方风险社区关注的重要领域,包括人们从本地化和语言角度处理的问题;以及适合欧洲受众的安全框架。
大家一致认为,在要求提供安全控制信息时,英语是与第三方交流的通用语言标准。大家一致认为,没有必要使用其他语言的单独工具集(SIG/AUP)来支持全球受众。然而,有趣的是,以英语发送的对供应商请求的回复(以及供应商提供的控制支持证据)通常以被评估公司的当地语言返回。虽然这通常取决于公司的规模和安全团队在当地使用的语言,但显然存在很大的脱节,回复双方往往都需要翻译。此外,电话游戏也经常阻碍回复,即英语翻译成当地语言,供应商用当地语言回答,然后接收方再翻译回英语。这些多重翻译往往会导致对答复的理解出现错误,并可能影响整体控制验证。一些与会者提到了这个问题,尤其是在处理日本供应商的答复时。
同样有趣的是,美国正在讨论的帮助满足企业需求的框架,如 NIST 网络安全框架和 SOC 2 等认证,一般不在欧洲的讨论范围内。ISO 认证和当地监管指南似乎发挥着更重要的作用。但也有讨论认为,ISO 认证本身并不能满足银行和金融服务公司的需求,因为监管机构仍在推动它们证明自己已对控制措施进行了审查。
鉴于上述问题,扩大规模和控制成本似乎是一项艰巨的挑战,但我相信共享评估和 Prevalent 可以在这方面发挥重要作用。首先,SIG 和 AUP 的结合提供了一种可扩展的、基于程序的控制验证,注册会计师和咨询公司都可以执行,从而提供一种验证报告机制,而无需处理翻译问题,为监管机构提供更好的验证,并提供 ISO 以及对欧洲受众非常重要的其他映射。
通过本地化语言支持(扩展)实现评估和收集流程自动化的能力也成为讨论的一个重要方面。共享评估、Prevalent Vendor Risk Manager 和 Prevalent Vendor Threat Monitor 所提供的内容、自动化和威胁情报相结合,使全球企业能够从最小的供应商扩展到最大的供应商,提供控制可见性、监管透明度和持续监控,同时专注于预期目标--降低风险。
圆桌会议结束时,与会者一致同意,会议厅内的与会者将构成欧洲共同评估工作的核心,使其更加地方化。这可能包括地区会议、成员论坛电话会议,以及可能举行的欧洲共同评估峰会。我对这一前景感到非常兴奋,并期待着作为指导委员会的成员和该计划的被许可人更多地参与其中。感谢所有支持和参与这项工作的人。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
