如何评估它的网络安全防范服务提供者和议员

评估未来的IT服务提供商的网络安全功能不当和管理服务提供商(议员)可以把组织的数据和系统风险。从前年一个新的指南可以帮助你问正确的问题。

你的网络攻击表面不仅限于拥有资产。它还包括所有的第三方,如供应商、供应商和承包商,你的系统是数字交织在一起。如果其中的一个伙伴被违反,攻击者也可以找到一个途径来攻击你的系统。

在这个广泛而复杂的第三方网络风险管理领域,是尤其重要的组织紧密,有条不紊地、准确地评估它的网络安全防范管理服务提供者和服务提供者(议员)。

的指南最近发表的一份新报告的重点,由非盈利性计算技术行业协会(前年)。虽然“首席执行官指南选择一个服务提供者”是针对商业领袖,它还可以帮助和网络安全领导人提出正确的问题而选择ITSPs和议员。

18页纸的文件,由前年的网络安全咨询委员会,包括详细的问卷涵盖地区包括:

• 框架和合规
• 政策
• 特权帐户管理
• 系统管理
• 事件响应
• 补丁和漏洞管理
• 检测和预防

例如,“关键补丁和漏洞管理”一节寻求答案-其他服务提供者是否问题:

• 有一个记录虚拟机程序
• 进行常规的VM的评估系统
• 及时纠正和补丁的漏洞

在“框架/合规”部分,议员和IT服务提供商必须说他们是否:

• 使用一个网络安全管理系统的框架
• 文档和审计合规
• 支持治理需求或网络保险的义务

与此同时,“检测/预防”部分看起来被持续监测的能力,发现和应对网络事件。具体问题解决话题:

• 基础设施监控工具的使用
• 日志管理流程和政策
• 数据加密使用

“我们的目标是提供更清晰的议员是如何对待他们自己的系统,这样客户可能更好地理解他们的信息存储,访问将如何发生,以及发生了什么在发生网络事件,“读了前年关于导游的博客。

当然,组织还可以使用文档定期评估服务提供商和议员他们已经一起工作以确保其网络安全防范没有退化。

导游还可用于苏格兰议员和IT服务供应商自我评估和识别潜在的弱点在他们的网络安全政策、战略、流程和功能,可以把他们和他们的客户网络攻击的风险增加。

关于第三方供应商风险管理的更多信息:

• ”危险因素管理服务提供者的客户”(CISA)
• ”如何找到一个安全意识MSP吗”(方案杂志)
• ”为什么第三方风险管理很重要?”(CIO的见解)
• ”第三方网络风险是你的网络风险”(美国医院协会)
• ”网络的供应链风险管理的重要实践”(美国国家标准与技术研究院)

视频

中小企业应该如何选择一个安全意识管理服务提供者(IDG技术讨论)

重新考虑有效的第三方风险管理(RSA会议)

CISO发达的第三方风险管理框架(网络安全协作)

第三方风险管理:防止下一个超级工厂病毒(RSA会议)