上周末披露的SolarWinds供应链安全漏洞事件,无疑引发了企业是否会受到影响的担忧。为帮助企业评估自身风险敞口,Prevalent公司整理出7个关键问题清单,供企业向第三方供应商提出以评估其应对此次事件的措施。以下问题及对应的可能回答选项,可用于衡量风险等级并了解潜在的第三方业务中断风险。
SolarWinds第三方数据泄露影响调查问卷
| 1. 该组织是否受到近期SolarWinds“Sunburst”恶意软件网络攻击的影响? | a. 是
b. 不 |
| 2. 此次网络攻击对组织造成的影响本质是什么? | a. 对我们的网络、IT运营或安全产品造成重大影响:网络攻击导致系统或基础设施停止运行或无法使用。数据的保密性或完整性已遭到破坏。
b. 对我们的网络、IT运营或安全产品造成重大影响:服务可用性已出现周期性中断,部分系统可能周期性停止运行。数据的保密性或完整性存在一定程度的损失。 c. 对我们的网络、IT运营或安全产品影响较小:数据保密性或完整性未受损害;服务可用性中断程度极小或未受影响。 d. 此次网络攻击对我们的网络、IT运营或安全产品几乎没有造成任何影响。 |
| 3. 这是否会影响向客户提供的关键服务? | a. 是
b. 不 |
| 4. 该组织是否已制定事件调查与响应计划? | a. 该组织拥有文件化的事件管理政策。
b. 事件管理政策包含信息安全事件及漏洞的报告规则。 c. 作为事件调查与恢复工作的一部分,制定了事件响应计划。 d. 事件响应计划包括向内部相关方升级的程序,以及与客户沟通的程序。 |
| 5. 是否有联系人可解答其他问题? | 第3行,第2列 |
| 6. 该组织是否已修订现有控制措施或实施新控制措施,以解决并减轻网络攻击对业务造成的影响? | a. 已制定并实施控制措施以减轻网络攻击的影响。
b. 已确定相关控制措施,目前正在实施以减轻网络攻击的影响。 c. 该组织已确定需要更新或实施的控制措施,但尚未付诸实施。 d. 控制措施尚未实施或无法实施。 |
| 7. 若无法实施控制措施,该组织能否采取补偿性控制措施或方法来避免未来的网络攻击? | a. 已实施补偿性控制措施或替代方案,从而减轻了网络攻击造成的影响。
b. 该组织尚未确定或能够实施补偿性控制措施来减轻网络攻击造成的影响。 |
Prevalent客户:我们正在更新您的平台以包含上述问卷。 同时,Prevalent未使用SolarWinds产品,因此不受Orion网络攻击影响。
我们希望这些问题能在此次潜在干扰中为您减轻工作负担。待事态平息后,请谨记Prevalent提供第三方风险管理平台,内含60余份问卷模板,旨在帮助您自动化处理供应商评估的繁琐工作。值此新年之际,Prevalent全体同仁衷心祝愿您、您的团队及家人身体安康。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
