供应商安全调查问卷准确地评估了第三方供应商的攻击面,但前提是它们被智能地利用。当问卷变得过于冗长、千篇一律的模板充斥着专业术语时,问卷的质量和准确性会迅速下降。在这篇文章中,我们建议采取 x 项措施来提高安全问卷的准确性和安全问卷流程的整体效率。
1. 创建定制问卷
从风险管理的角度来看,发送通用的安全调查问卷可能会提高生产率,但这通常会导致许多问题与供应商关系不大,从而导致匆忙和不准确的答复。解决方案是针对每个供应商关系的特定安全上下文创建定制的调查问卷。有针对性的调查问卷不仅简洁且不耗时,因此不仅可以为供应商风险管理计划生成更有意义的数据,而且还鼓励供应商更快地完成它们——这是很难实现的理想行为。
定制问卷应该包括哪些细节?
为了使您的自定义调查问卷具有高度针对性,它应该考虑以下类别的网络安全信息:
- 监管合规要求——您的调查问卷应符合每个供应商的监管要求,并且最好能够识别每个标准的所有合规差距。
- 第三方风险管理 (TPRM) 要求——您的自定义调查问卷应包括基于 TPRM 监管标准和 VRM 计划指定的任何供应商信息安全标准的所有数据安全要求。
- 您的风险偏好——您的供应商评估问卷应该评估每个供应商的安全控制和安全实践对您组织的风险偏好的有效性。
2. 简化安全问卷的语言
网络安全是一个高科技领域,因此,在安全评估中使用技术术语几乎是必要的,以保持每个问题的完整性和准确性。不幸的是,并非所有第三方供应商都熟悉安全程序的深奥知识,因此这种习惯增加了安全问卷回答不准确的风险。
旨在简化每个供应商调查问卷的语言,或者至少包括用简单的术语解释每个问题的附加注释。这将需要某种形式的问卷定制,可以使用上一点中提到的自定义问卷构建解决方案,也可以使用电子表格(尽管不建议将电子表格用于供应商风险评估 - 请参阅此案例研究以了解原因)。
如果简化复杂问题不是您的强项,您可以寻求 ChatGPT 的帮助。如果您对写作总体上没有信心,ChatGPT 可以通过为您创建问卷来帮助您简化整个评估过程。
3. 不要只依赖安全问卷
安全问卷是时间点评估,这意味着它们仅反映供应商在每次评估时的安全状况。在尽职调查和所有其他正式评估之间,与服务提供商相关的网络安全风险是未知的。解决方案是扩大安全态势监控工作,以解决风险评估之间的攻击面差距。这最好通过增加安全评级的安全问卷来实现。安全评级代表一个组织的网络威胁弹性水平作为一个值。它们是通过针对一系列攻击向量评估供应商的攻击面来计算的,从而对每个供应商的安全态势进行公正、客观的量化。