美国国家标准与技术研究院特别出版物(NIST SP)800-53是一套被广泛采用的框架,众多安全专业人士将其视为后续所有NIST信息安全控制措施的基础。该标准现已进入第五次修订,重点关注信息系统与组织的安全及隐私控制措施,同样适用于第三方供应商和供货商。
随着众多组织采用SP 800-53框架构建信息安全体系,本文将深入剖析该框架中的供应链风险管理控制措施及第三方风险管理指南,并梳理可用于满足NIST要求的最佳实践能力,以强化第三方信息安全防护。
NIST与第三方供应链风险
美国国家标准与技术研究院(NIST)指南要求组织通过以下方式制定 供应链风险管理计划:
- 运用正式的风险管理计划和政策来推动供应链管理流程
- 通过协作识别风险与威胁,并应用基于安全与隐私的管控措施,强调安全与隐私保护
- 要求系统和产品的透明度(例如:生命周期、可追溯性及组件真实性)
- 日益增强的认识:必须对组织进行预先评估,并确保对问题和违规行为的可视性。
NIST SP 800-53r5 供应链特定控制措施最佳实践能力
注意:本文仅包含部分控制措施。如需完整控制措施清单,请详细查阅完整的SP 800-53指南,并咨询您的审计师。
| SP 800-53r5 供应链特定控制措施 | 最佳实践能力 |
|---|---|
| CA-2 (2) 控制评估 | 专项评估
组织可开展专项评估,包括验证与确认、系统监控、内部威胁评估、恶意用户测试及其他形式的测试。 CA-2 (3) 控制评估|利用外部组织的结果 组织可依赖其他(外部)组织对组织系统的控制评估。 |
寻找具备丰富预制模板库的解决方案,用于[第三方风险评估](/products/vendor-risk-assessment/)——包括专门围绕NIST控制措施构建的模板。评估应在供应商入驻、合同续签时进行,或根据合作关系中的重大变化,按要求频率(如季度或年度)实施。
评估应集中管理,并以工作流、任务管理和自动证据审查功能为后盾,以确保您的团队在整个关系生命周期中对第三方风险具有可见性。 重要的是,TPRM 解决方案应包括基于风险评估结果的内置补救建议,以确保您的第三方及时、令人满意地处理风险,并能向审计人员提供适当的证据。 在此过程中,需持续追踪并分析[针对第三方机构的外部威胁](/products/vendor-risk-monitoring/)。通过监控互联网及暗网中的网络威胁与漏洞,同时整合公共及私有渠道的声誉、制裁及财务信息来源,实现全面风险管控。 所有监控数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 务必整合第三方运营、声誉及财务数据,为网络安全发现提供背景信息,并衡量事件随时间推移产生的影响。 如有必要,可用第三方审计机构的[SOC 2报告](/blog/aicpa-soc-2-third-party-risk-management/)替代供应商的风险评估。审查SOC 2报告中指出的控制缺口清单,针对第三方建立风险项目,并持续跟踪和报告缺陷情况。 |
| CP-2 (7) 应急预案 | 与外部服务供应商协调
协调应急预案与外部服务提供商的应急预案,确保应急需求能够得到满足。 IR-4 (10) 事件处理 | 供应链协调 与供应链中的其他相关组织协调处理涉及供应链事件的应急处置活动。 IR-5 事件监测 追踪并记录事件。 IR-6 (3) 事件报告 | 供应链协调 向产品或服务提供商以及参与相关系统或系统组件供应链或供应链治理的其他组织提供事件信息。 IR-8(1) 事件响应计划 | 安全漏洞 在涉及个人身份信息的数据泄露事件响应计划中,应包含以下内容: (a) 一项用于确定是否需要向个人或其他组织(包括监督机构)发出通知的流程; (b) 一项评估程序,用于确定对受影响个人造成的损害、困扰、不便或不公的程度,以及任何减轻此类损害的机制; (c) 适用隐私要求的识别。 |
作为更广泛的[事件管理策略](/blog/third-party-incident-response-management/)组成部分,请确保您的第三方事件响应计划能让团队快速识别、应对、报告并减轻[第三方供应商安全事件](/services/third-party-incident-response-service/)的影响。 寻求托管服务,由专职专家集中管理您的供应商;主动开展事件风险评估;对识别出的风险进行评分;将风险与持续网络监控情报关联;并代表您的组织发布补救指导。托管服务可大幅缩短以下时间:识别受网络安全事件影响的供应商、与供应商协调,以及确保补救措施到位。
[第三方事件响应服务](/services/third-party-incident-response-service/)的核心功能包括: 此外,还可考虑利用包含全球数千家公司数年数据泄露历史记录的数据库,包括被盗数据的类型和数量、合规性和监管问题,以及实时供应商数据泄露通知。 |
| PM-9 风险管理策略
a. 制定全面策略以管理: 1. 与组织系统运行和使用相关的、对组织运营及资产、个人、其他组织以及国家造成的安全风险;以及 2. 因个人身份信息的授权处理而导致的个人隐私风险; b. 在整个组织范围内一致实施风险管理策略;以及 c. 根据需要审查并更新风险管理策略,以应对组织变革。 PM-30供应链风险管理策略 a. 制定全组织范围的战略,用于管理与系统、系统组件及系统服务的开发、采购、维护和处置相关的供应链风险; b. 在整个组织范围内一致实施供应链风险管理策略;以及 c. 根据组织规定的频率或按需审查并更新供应链风险管理策略,以应对组织变革。 |
建立全面的第三方风险管理(TPRM)或网络安全供应链风险管理(C-SCRM)计划,与更广泛的信息安全和治理、企业风险管理和合规计划保持一致。
寻求[专家](/services/professional-services/)与您的团队协作: 作为这一过程的一部分,您应该确定 根据不断变化的业务需求和优先级,持续评估第三方风险管理计划的有效性,通过合作关系生命周期全程衡量第三方供应商的关键绩效指标(KPI)和关键风险指标(KRI)。 |
| PM 30 (1) 供应链风险管理策略 | 关键或任务关键物品的供应商
识别、优先排序并评估关键或任务关键型技术、产品及服务的供应商。 |
首先对所有第三方进行[固有风险](/use-cases/vendor-inherent-risk-scoring/)量化评估。用于计算第三方固有风险以确定优先级的标准包括: * 验证控制措施所需的内容类型 * 对业务绩效和运营的关键性 * 地理位置及相关法律法规考量 * 对第四方的依赖程度 * 涉及运营或客户接触流程的风险敞口 * 与受保护数据的交互程度 * 财务状况与健康度 * 声誉风险 基于此内在风险评估,团队可自动分级供应商,设定相应尽职调查层级,并确定持续评估范围。基于规则的分级逻辑应通过综合考量数据交互、财务状况、监管合规及声誉风险等维度实现供应商分类。 |
| PM-31 持续监测战略
制定全组织范围的持续监控策略,并实施包含以下内容的持续监控计划: a. 建立需监控的全组织范围指标; b. 建立监测和评估控制措施有效性的明确频率; c. 根据持续监控策略,对组织定义的指标进行持续监控; d. 对控制评估和监测所产生的信息进行关联与分析; e. 为处理控制评估和监测信息分析结果而采取的应对措施;以及 f. 向指定人员报告组织系统的安全与隐私状态。 |
持续追踪并分析[第三方面临的外部威胁](/products/vendor-risk-monitoring/)。在此过程中,需监控互联网及暗网中的网络威胁与漏洞,同时追踪公共及私有渠道的声誉、制裁和财务信息。
监控来源通常包括 所有监控数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 将所有评估和监控数据关联到中央风险登记册后,根据可能性和影响模型进行风险评分和优先排序。该模型应将风险框定为一个矩阵,以便于查看影响最大的风险,并优先针对这些风险采取补救措施。 指定负责人并跟踪风险和补救措施,使其达到企业可接受的水平。 |
| RA-1 政策和程序
开发、记录和传播: 1. 一项风险评估政策,该政策应: (a) 涉及目的、范围、角色、职责、管理层承诺、组织实体间的协调以及合规性; (b) 符合适用法律、行政命令、指令、法规、政策、标准和指南;以及 2. 促进风险评估政策及相关风险评估控制措施实施的程序; b. 指定一名官员负责管理风险评估政策和程序的制定、记录及传播工作; c. 审查并更新现行风险评估: 1. 政策与 |
参见PM-9风险 管理策略 |
| RA-2 (1) 安全分类 | 影响级别优先级排序
对组织系统进行影响层级优先级排序,以获得系统影响层级的更精细化信息。 |
参见PM 30 (1)供应链风险管理策略 | 关键或任务关键物品供应商 |
| RA-3 (1) 风险评估 | 供应链风险评估
(a) 评估与系统、组件和服务相关的供应链风险;以及 (b) 当相关供应链发生重大变更时,或当系统、运行环境或其他条件的变化可能需要调整供应链时,应更新供应链风险评估。 |
寻找具备丰富预制模板库的解决方案,用于[第三方风险评估](/products/vendor-risk-assessment/)——包括专门围绕NIST控制措施构建的模板。评估应在供应商入驻时、合同续签时或根据重大变更情况按要求频率(如季度或年度)进行。
评估工作应集中管理,并依托工作流、任务管理及自动化证据审查功能,确保团队在整个合作关系生命周期内能够全面掌握第三方风险状况。 重要的是,TPRM 解决方案应包括基于风险评估结果的内置补救建议,以确保您的第三方及时、令人满意地处理风险,并能向审计人员提供适当的证据。 |
| RA-3 (2) 风险评估 | 全源情报的使用
运用全源情报协助风险分析。 RA-3 (3) 风险评估 | 动态威胁感知 持续评估当前网络威胁态势。 RA-3 (4) 风险评估 | 预测性网络分析 运用先进的自动化和分析能力来预测和识别风险。 RA-7 风险应对 根据组织的风险承受能力,对安全与隐私评估、监控及审计的结果作出响应。 |
持续追踪并分析[第三方面临的外部威胁](/products/vendor-risk-monitoring/)。在此过程中,需监控互联网及暗网中的网络威胁与漏洞,同时追踪公共及私有渠道的声誉、制裁和财务信息。
监测来源通常包括: * 犯罪论坛;洋葱网页;暗网特权访问论坛;威胁情报源;泄露凭证粘贴网站——以及多个安全社区、代码仓库和漏洞数据库 所有监控数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 当所有评估与监控数据整合至中央风险登记册后,应依据可能性与影响模型实施风险评分与优先级排序。该模型需将风险归入矩阵框架,以便清晰识别高影响风险并优先安排整改措施。 指定负责人并跟踪风险和补救措施,使其达到企业可接受的水平。 |
| RA-9临界性分析
通过在系统开发生命周期的规定决策点进行关键性分析,识别关键系统组件和功能。 |
参见PM 30 (1)供应链风险管理策略 | 关键或任务关键物品供应商 |
| SR-1 政策和程序
开发、记录和传播: 1. 一项供应链风险管理政策,该政策应: (a) 涉及目的、范围、角色、职责、管理层承诺、组织实体间的协调以及合规性; (b) 符合适用法律、行政命令、指令、法规、政策、标准和指南;以及 2. 促进供应链风险管理政策及相关供应链风险管理控制措施实施的程序; b. 指定一名官员负责管理供应链风险管理政策和程序的制定、记录及传播工作;以及 c. 审查并更新现行供应链风险管理: 1. 政策与 |
见PM-9风险管理战略 |
| SR-2 供应链风险管理计划
a.制定计划,管理与系统、系统组件或系统服务的研发、设计、制造、采购、交付、集成、运营和维护以及处置相关的供应链风险 b.根据需要审查和更新供应链风险管理计划,以应对威胁、组织或环境变化;以及 c.保护供应链风险管理计划,防止未经授权的披露和修改。 |
见PM-9风险管理战略 |
| SR-3 供应链控制和流程
a. 与供应链人员协同建立流程,以识别并解决供应链要素及流程中的薄弱环节或缺陷; b. 采用以下控制措施,以防范系统、系统组件或系统服务面临的供应链风险,并限制供应链相关事件造成的危害或后果;以及 c. 在供应链风险管理计划中记录所选定并实施的供应链流程与控制措施。 |
参见PM-9风险管理策略 |
| SR-4 (4) 原产地 | 供应链完整性 - 血统
通过验证关键或任务必要技术、产品和服务的内部构成和来源,实施控制和分析,确保系统和系统组件的完整性。 |
作为尽职调查流程的一部分,要求供应商为其软件产品提供最新的[软件物料清单(SBOM)](/blog/sbom-software-bill-of-materials/)。这将有助于您识别可能影响组织安全与合规性的潜在漏洞或许可问题。 |
| SR-5 采购战略、工具和方法
采用采购战略、合同工具和采购方法来防范、识别和降低供应链风险。 |
在单一解决方案中集中并自动分发、比较和管理招标书(RFP)和信息征询书(RFI),并对关键属性进行比较。
随着所有服务供应商正被集中管理并接受审查,团队应创建[全面的供应商档案](/content-library/risk-profiling-snapshot/),其中需包含对供应商人口统计信息、第四方技术、ESG评分、近期业务与声誉动态、数据泄露历史及最新财务表现的深度洞察。 此级别的尽职调查为[供应商选择](/products/rfp-rfi-management/)决策提供了更全面的背景信息。 |
| SR-6 供应商评估和审查
评估和审查与供应商或承包商及其提供的系统、系统组件或系统服务有关的供应链相关风险。 |
参见RA-3 (1)风险评估 | 供应链风险评估 |
| SR-8 通知协议
与参与系统、系统组件或系统服务供应链的实体制定协议和程序,以通报供应链受损情况以及评估或审计结果。 |
集中管理[供应商合同](/products/contract-lifecycle-management/)的分发、讨论、保留和审查,以自动化合同生命周期并确保关键条款得到执行。 核心功能包括: * 集中追踪所有合同及属性(类型、关键日期、金额、提醒事项、状态),支持基于角色的自定义视图 * 基于用户或合同类型的流程自动化,实现合同管理全周期管理 * 自动提醒与逾期通知,优化合同审核流程 * 集中化合同讨论与评论追踪 * 基于角色的权限控制及全访问审计轨迹的合同文档存储 * 支持离线编辑的版本控制追踪 * 基于角色的权限分配机制,实现职责划分、合同访问权限及读写修改权限管理 通过此功能,您可确保供应商合同中明确责任划分与审计权条款,并据此追踪管理服务水平协议(SLA)。 |
| SR-13 供应商库存
a. 建立、记录并维护供应商名录,该名录应: 1. 准确且简明地反映可能在供应链中构成网络安全风险的组织一级供应商; 2. 是否达到评估关键性与供应链风险、追踪及报告所需的粒度水平; 3. 为每个一级供应商(例如总承包商)记录以下信息:审查并更新供应商清单。 i. 采购工具(即合同、任务或交货单)的唯一标识; ii. 所供产品和/或服务的描述; iii. 使用供应商产品和/或服务的项目、计划和/或系统;以及 iv. 分配的严重性等级应与程序、项目和/或系统(或系统组件)的严重性相匹配。 b. 审查并更新供应商库存。 |
将对供应商的所有深入了解集中到一个供应商档案中,以便与供应商打交道的所有部门都能利用相同的信息,提高可见性和决策性。
通过电子表格模板或与现有采购解决方案的 API 连接导入供应商,从而消除容易出错的手动流程。 使用集中化、可定制的接收表单和相关工作流程填充关键供应商详细信息。每个人都可以通过电子邮件邀请获得这些信息,无需任何培训或解决方案专业知识。 建立[综合供应商档案](/assets/documents/resources/Prevalent-Risk-Profiling-Snapshot-Data-Sheet.pdf),用于比较和监控供应商的人口统计特征、地理位置、第四方技术以及近期运营洞察。积累这些数据将使您能够针对地理和技术集中风险进行特别报告并采取行动。 普瑞凡如何助力应对NIST SP 800-53供应链风险管理指南 |
普瑞凡如何助力应对NIST SP 800-53供应链风险管理指南
Prevalent 为扩大第三方风险管理和网络安全供应链风险管理提供了一个中央自动化平台。利用 Prevalent,您的团队可以
- 根据企业更广泛的网络安全供应链和企业风险管理计划,建立最佳实践的第三方风险管理计划
- 利用对多个风险领域的综合洞察力,实现 RFx 流程自动化,并做出更明智的供应商尽职调查决策
- 集中分发、讨论、保留和审查供应商合同,以确保包含关键安全要求、就关键绩效指标(KPI)达成一致并加以执行
- 建立单一供应商清单,衡量内在风险,为服务提供商的概况、分层和分类提供信息,并确定持续尽职调查活动的适当范围和频率
- 在第三方生命周期的每个阶段自动进行风险评估和补救
- 通过监控互联网和暗网的网络威胁和漏洞,持续跟踪和分析第三方面临的外部威胁
- 自动化合同评估与离职流程,以降低贵机构在合同终止后面临的风险暴露
- 通过集中管理供应商、开展事件评估、对识别出的风险进行评分以及获取补救指导,快速识别并减轻服务提供商安全事件和违规行为的影响。
有关 Prevalent 如何帮助满足 NIST 准则的更多信息,请立即申请解决方案演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
