Le National Institute of Standards and Technology (NIST) est une agence fédérale au sein du ministère du Commerce des États-Unis. Les responsabilités du NIST comprennent l'établissement de normes et de directives relatives aux technologies de l'information et de l'informatique pour les agences fédérales. Étant donné que le NIST publie et maintient des ressources clés pour la gestion des risques de cybersécurité applicables à toute entreprise, de nombreuses organisations du secteur privé considèrent la conformité à ces normes et directives comme une priorité absolue.
Plusieurs publications spéciales du NIST comportent des contrôles spécifiques qui exigent des organisations qu'elles établissent et mettent en œuvre les processus permettant d'identifier, d'évaluer et de gérer les risques liés à la chaîne d'approvisionnement. Ces publications spéciales du NIST comprennent :
Comme les directives du NIST se complètent les unes les autres, les organisations qui se standardisent sur une publication spéciale et font un mapping croisé avec les autres - répondent en fait à plusieurs exigences en utilisant un seul cadre. La plateforme de gestion des risques des tiersPrevalent peut être utilisée pour répondre aux exigences du NIST en matière de renforcement de la sécurité de la chaîne d'approvisionnement.
Évaluer si les contrôles de sécurité sont mis en œuvre correctement, s'ils fonctionnent comme prévu et s'ils répondent aux exigences.
Contrôler les contrôles de sécurité de manière continue afin de déterminer leur efficacité.
Déterminer les exigences de cybersécurité pour les fournisseurs
Adopter des exigences en matière de cybersécurité par le biais d'accords formels (par exemple, des contrats).
Communiquer aux fournisseurs comment les exigences de cybersécurité seront vérifiées et validées.
Vérifier que les exigences en matière de cybersécurité sont respectées grâce à des méthodes d'évaluation.
Liste de contrôle de la conformité des tiers du NIST
La liste de contrôle de conformité des tiers du NIST est un guide de 30 pages qui révèle que les pratiques TPRM correspondent aux recommandations décrites dans les normes NIST SP 800-53, NIST SP 800-161 et NIST CSF.
Recoupement des contrôles TPRM NIST SP 800-53r5 et SP 800-161r1
Les tableaux récapitulatifs ci-dessous mettent en correspondance les capacités disponibles dans la plate-forme de gestion des risques liés aux tiers Prevalent avec les contrôles des tiers, des vendeurs ou des fournisseurs figurant dans la norme SP 800-53, avec la correspondance croisée de la norme SP 800-161.
SP 800-53 r5 Numéro de contrôle avec correspondance SP 800-161r1 | Quelle aide nous apportons |
---|---|
Contrôle SP 800 53 avec recouvrement SP 800-161
|
La plateforme de gestion des risques des tiersPrevalent comprend plus de 100 modèles d'enquête d'évaluation des risques normalisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquête personnalisée et un questionnaire qui fait automatiquement correspondre les réponses à n'importe quelle réglementation ou cadre de conformité. Toutes les évaluations sont basées sur des normes industrielles et abordent tous les sujets liés à la sécurité de l'information dans la mesure où ils concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement. Prevalent Vendor Threat Monitor (VTM) suit et analyse en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité déclarées par les fournisseurs sur la plate-forme Prevalent en surveillant l'Internet et le dark web à la recherche des menaces et des vulnérabilités de cyber . Il met également en corrélation les résultats de l'évaluation avec les recherches sur les risques opérationnels, financiers, juridiques et de marque dans un registre de risques unifié qui permet un triage et une réponse centralisés des risques. Avec la plateforme Prevalent , vous pouvez communiquer efficacement avec les fournisseurs et coordonner les efforts de remédiation. Capturez et vérifiez les conversations, enregistrez les dates d'achèvement estimées, acceptez ou rejetez les soumissions sur la base d'une réponse par réponse, attribuez des tâches en fonction des risques, des documents ou des entités, et faites correspondre la documentation et les preuves aux risques. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Prevalent VTM révèle les incidents de tiers cyber pour 550 000 entreprises activement suivies en surveillant plus de 1 500 forums criminels, des milliers de pages oignons, plus de 80 forums d'accès spéciaux sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage pour les informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités. Prevalent normalise, corrèle et analyse ensuite les informations provenant de multiples entrées, y compris les évaluations de risques internes et externes et la surveillance externe de Prevalent Vendor Threat Monitor et BitSight. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la remédiation. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Le service de réponse aux incidents de tiersPrevalent vous permet d'identifier et d'atténuer rapidement l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en effectuant des évaluations proactives des événements, en notant les risques identifiés et en accédant à des conseils de remédiation. La plateforme Prevalent comprend des capacités unifiées pour évaluer, analyser et traiter les faiblesses des plans de résilience des fournisseurs. Cela vous permet de travailler de manière proactive avec votre communauté de fournisseurs pour vous préparer aux pandémies, aux catastrophes environnementales et à d'autres crises potentielles. cyber En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent fournit une surveillance de la sécurité, des affaires, de la réputation et des finances - en évaluant continuellement les tiers pour identifier les faiblesses potentielles qui peuvent être exploitées par des criminels cyber . Toutes les informations sur les risques sont centralisées, mises en corrélation et analysées dans un registre unique des risques qui automatise les rapports et les réponses, et qui comporte un modèle de notation pondéré flexible basé sur la probabilité d'un événement et son impact. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Le service de réponse aux incidents de tiersPrevalent vous permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en effectuant des évaluations proactives des événements, en notant les risques identifiés et en accédant à des conseils de remédiation. La plateforme Prevalent comprend des capacités unifiées pour évaluer, analyser et traiter les faiblesses des plans de résilience des fournisseurs. Cela vous permet de travailler de manière proactive avec votre communauté de fournisseurs pour vous préparer aux pandémies, aux catastrophes environnementales et à d'autres crises potentielles. cyber En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent fournit une surveillance de la sécurité, des affaires, de la réputation et des finances - en évaluant continuellement les tiers pour identifier les faiblesses potentielles qui peuvent être exploitées par des criminels cyber . Toutes les informations sur les risques sont centralisées, mises en corrélation et analysées dans un registre unique des risques qui automatise les rapports et les réponses, et qui comporte un modèle de notation pondéré flexible basé sur la probabilité d'un événement et son impact. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Prevalent Contract Essentials est une solution SaaS qui centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Elle inclut également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Avec Contract Essentials, vos équipes d'approvisionnement et juridiques disposent d'une solution unique pour s'assurer que les clauses contractuelles clés sont en place, et que les niveaux de service et les temps de réponse sont gérés. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Toutes les informations sur les risques contenues dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre unique des risques qui automatise les rapports et les réponses, et qui comporte un modèle de notation pondéré flexible basé sur la probabilité d'un événement et son impact. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Le service de réponse aux incidents de tiers Prevalent vous permet d'identifier et d'atténuer rapidement l'impact des violations de la chaîne d'approvisionnement en gérant les fournisseurs de manière centralisée, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation. Le service de réponse aux incidents fournit les bases pour être bien préparé aux questions du conseil d'administration et de la direction concernant l'impact des incidents de la chaîne d'approvisionnement, et pour démontrer la preuve de votre plan de réponse aux violations par des tiers auprès des auditeurs et des régulateurs. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Prevalent VTM révèle les incidents de tiers cyber pour 550 000 entreprises activement suivies en surveillant plus de 1 500 forums criminels, des milliers de pages oignons, plus de 80 forums d'accès spéciaux sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage pour les informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités. Prevalent normalise, corrèle et analyse ensuite les informations provenant de multiples entrées, y compris les évaluations de risques internes et externes et la surveillance externe de Prevalent Vendor Threat Monitor et BitSight. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la remédiation. Toutes les informations sur les risques contenues dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre unique des risques qui automatise les rapports et les réponses, et qui comporte un modèle de notation pondéré flexible basé sur la probabilité d'un événement et son impact. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Prevalent VTM révèle les incidents de tiers cyber pour 550 000 entreprises activement suivies en surveillant plus de 1 500 forums criminels, des milliers de pages oignons, plus de 80 forums d'accès spéciaux sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage pour les informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités. Prevalent normalise, corrèle et analyse ensuite les informations provenant de multiples entrées, y compris les évaluations de risques internes et externes et la surveillance externe de Prevalent Vendor Threat Monitor et BitSight. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la remédiation. Toutes les informations sur les risques contenues dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre unique des risques qui automatise les rapports et les réponses, et qui comporte un modèle de notation pondéré flexible basé sur la probabilité d'un événement et son impact. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
La plateforme Prevalent comprend plus de 100 modèles d'enquêtes d'évaluation des risques standardisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquêtes personnalisées et un questionnaire qui fait correspondre les réponses à n'importe quelle réglementation ou cadre de conformité. Toutes les évaluations sont basées sur les normes du secteur et abordent tous les sujets liés à la sécurité de l'information dans la mesure où ils concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement. Avec la plateforme Prevalent , vous pouvez générer automatiquement un registre des risques à l'issue de l'enquête, ce qui permet de visualiser l'ensemble du profil de risque (ou une version spécifique à un rôle) dans le tableau de bord centralisé et en temps réel, et de télécharger et d'exporter les rapports pour déterminer le statut de conformité. Les rapports peuvent être téléchargés et exportés pour déterminer l'état de conformité. Cela permet de filtrer les bruits inutiles et de se concentrer sur les domaines potentiellement préoccupants, en fournissant une visibilité et des tendances pour mesurer l'efficacité du programme. Ensuite, vous pouvez prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
La plateforme Prevalent comprend plus de 100 modèles d'enquêtes d'évaluation des risques standardisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquêtes personnalisées et un questionnaire qui permet de faire correspondre les réponses à n'importe quelle réglementation ou cadre de conformité. Toutes les évaluations sont basées sur des normes industrielles et traitent de tous les sujets liés à la sécurité de l'information dans la mesure où ils concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement. Prevalent offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques des fournisseurs et déterminer la conformité des fournisseurs aux exigences de sécurité informatique, de réglementation et de confidentialité des données. En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent fournit également une surveillance de la sécurité, des affaires, de la réputation et des finances de cyber - en évaluant continuellement les tiers pour identifier les faiblesses potentielles qui peuvent être exploitées par les criminels de cyber . Toutes les informations sur les risques contenues dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre unique des risques qui automatise les rapports et les réponses, et qui comporte un modèle de notation pondéré flexible basé sur la probabilité d'un événement et son impact. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
La plateforme Prevalent propose des conseils intégrés pour remédier aux défaillances des contrôles ou à d'autres risques identifiés à des niveaux acceptables pour votre organisation. Prevalent permet également aux évaluateurs de risques de communiquer avec des tiers au sujet des mesures correctives, de documenter les conversations et les mises à jour, et de stocker la documentation de contrôle dans un référentiel centralisé. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Prevalent offre un questionnaire d'évaluation des risques inhérents avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques pour tous les tiers. Les critères d'évaluation comprennent :
L'évaluation des risques inhérents vous permet de classer automatiquement les fournisseurs, de définir des niveaux appropriés de diligence supplémentaire et de déterminer la portée des évaluations périodiques ultérieures. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série de considérations liées à l'interaction des données, aux finances, à la réglementation et à la réputation. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent fournit également une surveillance de la sécurité, des affaires, de la réputation et des finances de cyber - en évaluant continuellement les tiers pour identifier les faiblesses potentielles qui peuvent être exploitées par les criminels de cyber . Toutes les informations sur les risques contenues dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre unique des risques qui automatise les rapports et les réponses, et qui comporte un modèle de notation pondéré flexible basé sur la probabilité d'un événement et son impact. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Prevalent VTM suit et analyse en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Le service complète et valide les données de contrôle de sécurité déclarées par les fournisseurs sur la plateforme Prevalent en surveillant l'Internet et le dark web pour les menaces et les vulnérabilités de cyber - et en corrélant les résultats de l'évaluation avec les recherches sur les risques opérationnels, financiers, juridiques et de marque dans un registre de risques unifié qui permet un triage et une réponse centralisés des risques. Toutes les informations sur les risques contenues dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre unique des risques qui automatise les rapports et les réponses, et qui comporte un modèle de notation pondéré flexible basé sur la probabilité d'un événement et son impact. |
Contrôle SP 800 53 avec recouvrement SP 800-161
|
Prevalent VTM suit et analyse en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Le service complète et valide les données de contrôle de sécurité déclarées par les fournisseurs sur la plateforme Prevalent en surveillant l'Internet et le dark web pour les menaces et les vulnérabilités de cyber - et en corrélant les résultats de l'évaluation avec les recherches sur les risques opérationnels, financiers, juridiques et de marque dans un registre de risques unifié qui permet un triage et une réponse centralisés des risques. Toutes les informations sur les risques contenues dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre unique des risques qui automatise les rapports et les réponses, et qui comporte un modèle de notation pondéré flexible basé sur la probabilité d'un événement et son impact. |
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR)
Le tableau ci-dessous comprend un extrait du contrôle SP 800-53 r5 Supply Chain Risk Management et la manière dont la plateforme Prevalent répond aux exigences. Pour une cartographie complète, veuillez télécharger le guide complet du NIST.
SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR) | Quelle aide nous apportons |
---|---|
Politique et procédures SR-1 |
Prevalent Les services de conception de programmes définissent et documentent votre programme de gestion des risques liés aux tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en intégrant les meilleures pratiques pour une gestion des risques de bout en bout. |
SR-2 Plan de gestion des risques de la chaîne d'approvisionnement |
Lesservices d'optimisation du programmePrevalent vous aident à améliorer continuellement le déploiement de la plate-forme Prevalent , en veillant à ce que votre programme TPRM conserve la flexibilité et l'agilité dont il a besoin pour répondre aux exigences commerciales et réglementaires en constante évolution. |
SR-3 Contrôles et processus de la chaîne d'approvisionnement |
Prevalent Les services de conception de programmes définissent et documentent votre programme de gestion des risques liés aux tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en intégrant les meilleures pratiques pour une gestion des risques de bout en bout. |
SR-5 Stratégies, outils et méthodes d'acquisition |
Prevalent aide les équipes chargées des achats à réduire les coûts, la complexité et l'exposition aux risques lors de la sélection des fournisseurs. Notre solution RFx Essentials permet de centraliser la distribution, la comparaison et la gestion des appels d'offres et des demandes de renseignements. Elle vous aide également à anticiper les risques potentiels liés aux fournisseurs grâce à des scores démographiques, de 4ème partie et ESG, ainsi qu'à des informations optionnelles sur les risques commerciaux, financiers et d'atteinte à la réputation. Ainsi, vous êtes en mesure de faire un premier pas important vers la gestion des risques dans le cycle de vie des tiers. Une fois la sélection des fournisseurs terminée, Prevalent Contract Essentials centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il inclut également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Avec Contract Essentials, les équipes d'approvisionnement et juridiques disposent d'une solution unique pour gérer les contrats des fournisseurs, simplifier la gestion et la révision, et réduire les coûts et les risques. |
SR-6 Évaluations et examens des fournisseurs |
La plateforme Prevalent comprend plus de 600 modèles d'enquête d'évaluation des risques standardisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquête personnalisée et un questionnaire qui adapte les réponses à n'importe quelle réglementation ou cadre de conformité. Toutes les évaluations sont basées sur des normes industrielles et traitent de tous les sujets relatifs à la sécurité de l'information en ce qui concerne les contrôles de sécurité des partenaires de la chaîne d'approvisionnement et de la résilience de l'entreprise. Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité déclarées par les fournisseurs sur la plateforme Prevalent en surveillant Internet et le dark web à la recherche de menaces et de vulnérabilités ( cyber ) et en corrélant les résultats de l'évaluation avec la recherche sur les risques opérationnels, financiers, juridiques et de marque dans un registre de risques unifié qui permet un triage et une réponse centralisés des risques. |
Accords de notification SR-8 |
Avec la plateforme Prevalent , vous pouvez collaborer sur des documents, des accords et des certifications, tels que des accords de confidentialité, des accords de niveau de service, des cahiers des charges et des contrats, avec un contrôle de version intégré, une affectation des tâches et des cadences de révision automatique. Vous pouvez également gérer tous les documents tout au long du cycle de vie des fournisseurs dans des profils de fournisseurs centralisés. |
SR-13 Inventaire des fournisseurs |
Prevalent propose un questionnaire d'évaluation des risques inhérents avec une notation claire basée sur huit critères afin d'identifier, de suivre et de quantifier les risques pour tous les tiers. Les critères d'évaluation sont les suivants
L'évaluation des risques inhérents vous permet de classer automatiquement les fournisseurs, de définir des niveaux appropriés de diligence supplémentaire et de déterminer la portée des évaluations périodiques ultérieures. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série de considérations liées à l'interaction des données, aux finances, à la réglementation et à la réputation. |
Aligner votre programme TPRM sur le NIST CSF 2.0
Lisez la liste de contrôle de la conformité des tiers au NIST Cybersecurity Framework 2.0 pour évaluer votre programme de gestion des risques des tiers par rapport aux dernières directives C-SCRM.
Le cadre de cybersécurité NIST (CSF) v2.0 et la gestion des risques liés aux tiers
Le tableau ci-dessous présente les contrôles spécifiques à la chaîne d'approvisionnement dans la fonction de gouvernance du Cybersecurity Framework v2.0 et la manière dont Prevalent contribue à les mettre en œuvre. Pour une compréhension complète du cadre, veuillez télécharger l'intégralité du NIST CSF.
Fonction, catégorie et sous-catégorie | Meilleures pratiques |
---|---|
GOUVERNIR (GV) : La stratégie, les attentes et la politique de l'organisation en matière de gestion des risques liés à la cybersécurité sont établies, communiquées et contrôlées. |
|
Gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité (GV.SC) : Cyber Les processus de gestion des risques liés à la chaîne d'approvisionnement sont identifiés, établis, gérés, contrôlés et améliorés par les parties prenantes de l'organisation. |
|
GV.SC-01 : Un programme, une stratégie, des objectifs, des politiques et des processus de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement sont établis et approuvés par les parties prenantes de l'organisation. |
Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité. |
GV.SC-02 : Les rôles et responsabilités en matière de cybersécurité des fournisseurs, des clients et des partenaires sont établis, communiqués et coordonnés en interne et en externe. GV.SC-03 : La gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement est intégrée dans les processus de gestion, d'évaluation et d'amélioration des risques liés à la cybersécurité et à l'entreprise. |
Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité. Recherchez des experts pour collaborer avec votre équipe :
Dans le cadre de ce processus, vous devez définir :
|
GV.SC-04 : Les fournisseurs sont connus et classés par ordre de priorité en fonction de leur criticité. |
Centralisez votre inventaire de tiers dans une solution logicielle. Ensuite, quantifiez les risques inhérents à tous les tiers. Les critères utilisés pour calculer les risques inhérents afin d'établir un ordre de priorité pour les tiers devraient inclure :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles devrait permettre de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation. |
GV.SC-05 : Les exigences relatives à la prise en compte des risques de cybersécurité dans les chaînes d'approvisionnement sont établies, hiérarchisées et intégrées dans les contrats et autres types d'accords conclus avec les fournisseurs et les autres tiers concernés. |
Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les capacités clés devraient inclure :
Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence. |
GV.SC-06 : Une planification et une diligence raisonnable sont effectuées pour réduire les risques avant de nouer des relations formelles avec des fournisseurs ou d'autres tiers. |
Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet la comparaison sur des attributs clés. Comme tous les fournisseurs de services sont centralisés et examinés, les équipes devraient créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes. Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions concernant la sélection des fournisseurs. |
GV.SC-07 : Les risques posés par un fournisseur, ses produits et services et d'autres tiers sont compris, enregistrés, hiérarchisés, évalués, pris en compte et contrôlés tout au long de la relation. |
Recherchez des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants. Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse. Veillez à intégrer des données opérationnelles, financières et de réputation provenant de tiers afin d'ajouter un contexte aux conclusions de cyber et de mesurer l'impact des incidents au fil du temps. |
GV.SC-08 : Les fournisseurs concernés et les autres tiers sont inclus dans les activités de planification, de réponse et de récupération en cas d'incident. |
Dans le cadre de votre stratégie globale de gestion des incidents, veillez à ce que votre programme de réponse aux incidents impliquant des tiers permette à votre équipe d'identifier rapidement les incidents de sécurité impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact. Recherchez services manages où des experts dédiés gèrent vos fournisseurs de manière centralisée, effectuent des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent une corrélation entre les risques et les informations de surveillance continue de cyber et fournissent des conseils en matière de remédiation. services manages peut réduire considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité et s'assurer que les remédiations sont en place. Les capacités clés d'un service tiers de réponse aux incidents devraient comprendre les éléments suivants :
Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des fournisseurs en cas de violation de données. Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts. |
GV.SC-09 : Les pratiques de sécurité de la chaîne d'approvisionnement sont intégrées dans les programmes de cybersécurité et de gestion des risques de l'entreprise, et leurs performances sont contrôlées tout au long du cycle de vie des produits et services technologiques. |
Voir GV.SC-01 et GV.SC-02. |
GV.SC-10 : Les plans de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement comprennent des dispositions relatives aux activités qui se déroulent après la conclusion d'un partenariat ou d'un accord de service. |
En s'appuyant sur les meilleures pratiques recommandées pour GV.SC-05, automatisez l'évaluation des contrats et les procédures d'abandon afin de réduire le risque d'exposition post-contractuelle de votre organisation.
|
Le NIST a rédigé plusieurs normes industrielles qui traitent de l'identification, de l'évaluation et de la gestion des risques de la chaîne d'approvisionnement...
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
Mettez votre programme TPRM en conformité avec les normes NIST SP 800-53, SP 800-161 et CSF.