美国国家标准与技术研究院特别出版物(NIST SP)800-53是一套被广泛采用的框架,众多安全专业人士将其视为后续所有NIST信息安全控制措施的基础。该标准现已进入第五次修订,重点关注信息系统与组织的安全及隐私控制措施,同样适用于第三方供应商和供货商。
With numerous organizations adopting SP 800-53 for their information security programs, this post examines the framework’s supply chain risk management controls and third-party risk management guidance and identifies best practice capabilities you can employ to meet NIST requirements for stronger third-party information security.
NIST与第三方供应链风险
NIST guidelines require organizations to develop a plan for managing supply chain risks by:
- 运用正式的风险管理计划和政策来推动供应链管理流程
- 通过协作识别风险与威胁,并应用基于安全与隐私的管控措施,强调安全与隐私保护
- 要求系统和产品的透明度(例如:生命周期、可追溯性及组件真实性)
- 日益增强的认识:必须对组织进行预先评估,并确保对问题和违规行为的可视性。
NIST SP 800-53r5 供应链特定控制措施最佳实践能力
This post includes select controls only. For a full list of controls, please review the complete SP 800-53 guidance in detail and consult your auditor.
| SP 800-53r5 供应链特定控制措施 | 最佳实践能力 |
|---|---|
| CA-2 (2) 控制评估 | 专项评估
组织可开展专项评估,包括验证与确认、系统监控、内部威胁评估、恶意用户测试及其他形式的测试。 CA-2 (3) 控制评估|利用外部组织的结果 组织可依赖其他(外部)组织对组织系统的控制评估。 |
寻找提供大量预制模板库的解决方案 第三方风险评估 – including those specifically built around NIST controls. Assessments should be conducted at the time of supplier onboarding, contract renewal, or at any required frequency (e.g., quarterly or annually) depending on material changes in the relationship.
评估应集中管理,并以工作流、任务管理和自动证据审查功能为后盾,以确保您的团队在整个关系生命周期中对第三方风险具有可见性。 重要的是,TPRM 解决方案应包括基于风险评估结果的内置补救建议,以确保您的第三方及时、令人满意地处理风险,并能向审计人员提供适当的证据。 As part of this process, continuously track and analyze external threats to third parties. Monitor the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanction, and financial information. 所有监控数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 务必整合第三方运营、声誉及财务数据,为网络安全发现提供背景信息,并衡量事件随时间推移产生的影响。 If required, substitute third-party auditors SOC 2 reports for a vendor’s risk assessments. Review the list of control gaps identified within the SOC 2 report, create risk items against the third party, and track and report against deficiencies over time. |
| CP-2 (7) 应急预案 | 与外部服务供应商协调
协调应急预案与外部服务提供商的应急预案,确保应急需求能够得到满足。 IR-4 (10) 事件处理 | 供应链协调 与供应链中的其他相关组织协调处理涉及供应链事件的应急处置活动。 IR-5 事件监测 追踪并记录事件。 IR-6 (3) 事件报告 | 供应链协调 向产品或服务提供商以及参与相关系统或系统组件供应链或供应链治理的其他组织提供事件信息。 IR-8(1) 事件响应计划 | 安全漏洞 在涉及个人身份信息的数据泄露事件响应计划中,应包含以下内容: (a) 一项用于确定是否需要向个人或其他组织(包括监督机构)发出通知的流程; (b) 一项评估程序,用于确定对受影响个人造成的损害、困扰、不便或不公的程度,以及任何减轻此类损害的机制; (c) 适用隐私要求的识别。 |
As part of your broader incident management strategy, ensure that your third-party incident response program enables your team to rapidly identify, respond to, report on, and mitigate the impact of third-party vendor security incidents. Look for managed services where dedicated experts centrally manage your vendors; conduct proactive event risk assessments; score identified risks; correlate risks with continuous cyber monitoring intelligence; and issue remediation guidance on your organization’s behalf. Managed services can greatly reduce the time required to identify vendors impacted by a cybersecurity incident, coordinate with vendors, and ensure that remediations are in place.
主要功能包括
此外,还可考虑利用包含全球数千家公司数年数据泄露历史记录的数据库,包括被盗数据的类型和数量、合规性和监管问题,以及实时供应商数据泄露通知。 |
| PM-9 风险管理策略
a. 制定全面策略以管理: 1. 与组织系统运行和使用相关的、对组织运营及资产、个人、其他组织以及国家造成的安全风险;以及 2. 因个人身份信息的授权处理而导致的个人隐私风险; b. 在整个组织范围内一致实施风险管理策略;以及 c. 根据需要审查并更新风险管理策略,以应对组织变革。 PM-30 Supply Chain Risk Management Strategy a. 制定全组织范围的战略,用于管理与系统、系统组件及系统服务的开发、采购、维护和处置相关的供应链风险; b. 在整个组织范围内一致实施供应链风险管理策略;以及 c. 根据组织规定的频率或按需审查并更新供应链风险管理策略,以应对组织变革。 |
建立全面的第三方风险管理(TPRM)或网络安全供应链风险管理(C-SCRM)计划,与更广泛的信息安全和治理、企业风险管理和合规计划保持一致。
Seek out experts to collaborate with your team on:
作为这一过程的一部分,您应该确定:
Continually evaluate the effectiveness of your TPRM program according to changing business needs and priorities, measuring third-party vendor key performance indicators (KPIs) and key risk indicators (KRIs) through the relationship lifecycle. |
| PM 30 (1) 供应链风险管理策略 | 关键或任务关键物品的供应商
识别、优先排序并评估关键或任务关键型技术、产品及服务的供应商。 |
Start by quantifying inherent risks for all third parties. Criteria used to calculate inherent risk for third-party prioritization includes:
From this inherent risk assessment, your team can automatically tier suppliers, set appropriate levels of further diligence; and determine the scope of ongoing assessments. 基于规则的分层逻辑应通过综合考量数据交互、财务状况、监管合规及声誉风险等因素,实现供应商分类。 |
| PM-31 持续监测战略
制定全组织范围的持续监控策略,并实施包含以下内容的持续监控计划: a. 建立需监控的全组织范围指标; b. 建立监测和评估控制措施有效性的明确频率; c. 根据持续监控策略,对组织定义的指标进行持续监控; d. 对控制评估和监测所产生的信息进行关联与分析; e. 为处理控制评估和监测信息分析结果而采取的应对措施;以及 f. 向指定人员报告组织系统的安全与隐私状态。 |
Continuously track and analyze external threats to third parties. As part of this, monitor the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions, and financial information.
监测来源通常包括:
所有监控数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 将所有评估和监控数据关联到中央风险登记册后,根据可能性和影响模型进行风险评分和优先排序。该模型应将风险框定为一个矩阵,以便于查看影响最大的风险,并优先针对这些风险采取补救措施。 指定负责人并跟踪风险和补救措施,使其达到企业可接受的水平。 |
| RA-1 政策和程序
开发、记录和传播: 1. 一项风险评估政策,该政策应: (a) 涉及目的、范围、角色、职责、管理层承诺、组织实体间的协调以及合规性; (b) 符合适用法律、行政命令、指令、法规、政策、标准和指南;以及 2. 促进风险评估政策及相关风险评估控制措施实施的程序; b. 指定一名官员负责管理风险评估政策和程序的制定、记录及传播工作; c. 审查并更新现行风险评估: 1. Policy and 2. Procedures. |
参见PM-9风险 管理策略 |
| RA-2 (1) 安全分类 | 影响级别优先级排序
对组织系统进行影响层级优先级排序,以获得系统影响层级的更精细化信息。 |
参见PM 30 (1)供应链风险管理策略 | 关键或任务关键物品供应商 |
| RA-3 (1) 风险评估 | 供应链风险评估
(a) 评估与系统、组件和服务相关的供应链风险;以及 (b) 当相关供应链发生重大变更时,或当系统、运行环境或其他条件的变化可能需要调整供应链时,应更新供应链风险评估。 |
Look for solutions that feature a large library of pre-built templates for third-party risk assessments – including those specifically built around NIST controls. Assessments should be conducted at the time of supplier onboarding, contract renewal, or at any required frequency (e.g., quarterly or annually) depending on material changes.
评估工作应集中管理,并依托工作流、任务管理及自动化证据审查功能,确保团队在整个合作关系生命周期内能够全面掌握第三方风险状况。 重要的是,TPRM 解决方案应包括基于风险评估结果的内置补救建议,以确保您的第三方及时、令人满意地处理风险,并能向审计人员提供适当的证据。 |
| RA-3 (2) 风险评估 | 全源情报的使用
运用全源情报协助风险分析。 RA-3 (3) 风险评估 | 动态威胁感知 持续评估当前网络威胁态势。 RA-3 (4) 风险评估 | 预测性网络分析 运用先进的自动化和分析能力来预测和识别风险。 RA-7 风险应对 根据组织的风险承受能力,对安全与隐私评估、监控及审计的结果作出响应。 |
Continuously track and analyze external threats to third parties. As part of this, monitor the internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions, and financial information.
监测来源通常包括:
所有监控数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 当所有评估与监控数据整合至中央风险登记册后,应依据可能性与影响模型实施风险评分与优先级排序。该模型需将风险归入矩阵框架,以便清晰识别高影响风险并优先安排整改措施。 指定负责人并跟踪风险和补救措施,使其达到企业可接受的水平。 |
| RA-9临界性分析
通过在系统开发生命周期的规定决策点进行关键性分析,识别关键系统组件和功能。 |
参见PM 30 (1)供应链风险管理策略 | 关键或任务关键物品供应商 |
| SR-1 政策和程序
开发、记录和传播: 1. 一项供应链风险管理政策,该政策应: (a) 涉及目的、范围、角色、职责、管理层承诺、组织实体间的协调以及合规性; (b) 符合适用法律、行政命令、指令、法规、政策、标准和指南;以及 2. 促进供应链风险管理政策及相关供应链风险管理控制措施实施的程序; b. 指定一名官员负责管理供应链风险管理政策和程序的制定、记录及传播工作;以及 c. 审查并更新现行供应链风险管理: 1. Policy and 2. Procedures |
见PM-9风险管理战略 |
| SR-2 供应链风险管理计划
a.制定计划,管理与系统、系统组件或系统服务的研发、设计、制造、采购、交付、集成、运营和维护以及处置相关的供应链风险 b.根据需要审查和更新供应链风险管理计划,以应对威胁、组织或环境变化;以及 c.保护供应链风险管理计划,防止未经授权的披露和修改。 |
见PM-9风险管理战略 |
| SR-3 供应链控制和流程
a. 与供应链人员协同建立流程,以识别并解决供应链要素及流程中的薄弱环节或缺陷; b. 采用以下控制措施,以防范系统、系统组件或系统服务面临的供应链风险,并限制供应链相关事件造成的危害或后果;以及 c. 在供应链风险管理计划中记录所选定并实施的供应链流程与控制措施。 |
见PM-9风险管理战略 |
| SR-4 (4) 原产地 | 供应链完整性 - 血统
通过验证关键或任务必要技术、产品和服务的内部构成和来源,实施控制和分析,确保系统和系统组件的完整性。 |
As part of the due diligence process, require vendors to provide updated software bills of materials (SBOMs) for their software products. This will help you identify any potential vulnerabilities or licensing issues that may impact your organization’s security and compliance. |
| SR-5 采购战略、工具和方法
采用采购战略、合同工具和采购方法来防范、识别和降低供应链风险。 |
在单一解决方案中集中并自动分发、比较和管理招标书(RFP)和信息征询书(RFI),并对关键属性进行比较。
As all service providers are being centralized and reviewed, teams should create comprehensive vendor profiles that contain insight into a vendor’s demographic information, 4th-party technologies, ESG scores, recent business and reputational insights, data breach history, and recent financial performance. 这种程度的尽职调查为供应商选择决策提供了更多的背景资料。 |
| SR-6 供应商评估和审查
评估和审查与供应商或承包商及其提供的系统、系统组件或系统服务有关的供应链相关风险。 |
See RA-3 (1) Risk Assessment | Supply Chain Risk Assessment |
| SR-8 通知协议
与参与系统、系统组件或系统服务供应链的实体制定协议和程序,以通报供应链受损情况以及评估或审计结果。 |
Centralize the distribution, discussion, retention, and review of vendor contracts to automate the contract lifecycle and ensure key clauses are enforced. Key capabilities include:
|
| SR-13 供应商库存
a. 建立、记录并维护供应商名录,该名录应: 1. 准确且简明地反映可能在供应链中构成网络安全风险的组织一级供应商; 2. 是否达到评估关键性与供应链风险、追踪及报告所需的粒度水平; 3. 为每个一级供应商(例如总承包商)记录以下信息:审查并更新供应商清单。 i. 采购工具(即合同、任务或交货单)的唯一标识; ii. 所供产品和/或服务的描述; iii. 使用供应商产品和/或服务的项目、计划和/或系统;以及 iv. 分配的严重性等级应与程序、项目和/或系统(或系统组件)的严重性相匹配。 b. 审查并更新供应商库存。 |
将对供应商的所有深入了解集中到一个供应商档案中,以便与供应商打交道的所有部门都能利用相同的信息,提高可见性和决策性。
通过电子表格模板或与现有采购解决方案的 API 连接导入供应商,从而消除容易出错的手动流程。 使用集中化、可定制的接收表单和相关工作流程填充关键供应商详细信息。每个人都可以通过电子邮件邀请获得这些信息,无需任何培训或解决方案专业知识。 Build comprehensive supplier profiles that compare and monitor supplier demographics, geographic location, fourth-party technologies, and recent operational insights. Having this accumulated data will enable you to report on and take action against geographic and technology concentration risks especially. |
How Mitratech Helps Address NIST SP 800-53 Supply Chain Risk Management Guidelines
Mitratech delivers a central, automated platform for scaling third-party risk management and cybersecurity supply chain risk management. With the right platform, your team can:
- 根据企业更广泛的网络安全供应链和企业风险管理计划,建立最佳实践的第三方风险管理计划
- 利用对多个风险领域的综合洞察力,实现 RFx 流程自动化,并做出更明智的供应商尽职调查决策
- 集中分发、讨论、保留和审查供应商合同,以确保包含关键安全要求、就关键绩效指标(KPI)达成一致并加以执行
- 建立单一供应商清单,衡量内在风险,为服务提供商的概况、分层和分类提供信息,并确定持续尽职调查活动的适当范围和频率
- 在第三方生命周期的每个阶段自动进行风险评估和补救
- 通过监控互联网和暗网的网络威胁和漏洞,持续跟踪和分析第三方面临的外部威胁
- 自动化合同评估与离职流程,以降低贵机构在合同终止后面临的风险暴露
- 通过集中管理供应商、开展事件评估、对识别出的风险进行评分以及获取补救指导,快速识别并减轻服务提供商安全事件和违规行为的影响。
Ready to see how your vendor program stacks up against NIST 800-53 SR controls?
申请演示常见问题
What is NIST SP 800-53 SR-6 (Supplier Assessments and Reviews)?
SR-6 requires organizations to assess and review supply chain risks associated with each supplier and the systems or services they provide. Assessments should use consistent baseline criteria to allow risk comparison across suppliers over time, and results must be documented and factored into ongoing vendor risk decisions.
How does NIST 800-53 address third-party and vendor risk management?
NIST 800-53 governs vendor risk primarily through the SR (Supply Chain Risk Management) and RA (Risk Assessment) control families. SR controls establish requirements for supplier assessments, risk plans, notification agreements, and supplier inventories. RA controls govern how those assessments are conducted and how ongoing threats are monitored.
What is NIST SP 800-53 SR-13 (Supplier Inventory)?
SR-13 requires organizations to maintain a documented inventory of tier-one suppliers, including each supplier’s criticality level, what they provide, and which internal systems depend on them. It is the foundation of supplier tiering and appears frequently in federal contractor audits and vendor security questionnaires.
How do NIST 800-53 SR controls apply to third-party vendor assessments?
The SR control family defines what a vendor assessment program must include: a supply chain risk management plan (SR-2), documented controls and processes for identifying weaknesses (SR-3), structured supplier assessments (SR-6), contractual notification agreements (SR-8), and a maintained supplier inventory (SR-13). Each control maps directly to a capability a mature TPRM program should have in place.
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。