Dernier rapport d'analyste : Le guide de marché 2023 de Gartner® pour les solutions de gestion des risques fournisseurs

Solutions Hero Image Conformité Nist Sp800

Conformité à la norme NIST SP 800-53r5

Le NIST et la gestion des risques de la chaîne d'approvisionnement

La publication spéciale 800-53 du National Institute of Standards and Technology(NIST SP 800-53) est un cadre de contrôle de la sécurité et de la protection de la vie privée pour les systèmes d'information et les organisations.

Considérée comme le fondement sur lequel reposent tous les autres contrôles de cybersécurité, la dernière version, la publication NIST SP 800-53 Rev. 5, étend et affine les lignes directrices relatives à la sécurité de la chaîne d'approvisionnement et à la protection de la vie privée en établissant un groupe de contrôle entièrement nouveau, la gestion des risques de la chaîne d'approvisionnement (SR-Supply Chain Risk Management).

Conditions applicables

  • Mettre l'accent sur la sécurité et la protection de la vie privée en collaborant à l'identification des risques et des menaces et en appliquant des contrôles de sécurité et de protection de la vie privée.

  • Exiger la transparence des systèmes et des produits (par exemple, le cycle de vie, la traçabilité et l'authenticité des composants).

  • Sensibiliser à la nécessité d'évaluer au préalable les organisations et d'assurer la visibilité des problèmes et des violations.

  • Utiliser des plans et des politiques formels de gestion des risques pour piloter le processus de gestion de la chaîne d'approvisionnement.

Comparer votre programme TPRM à la norme NIST SP 800-53

Lisez la liste de contrôle pour la conformité : NIST SP 800-53 et la gestion des risques liés aux tiers pour découvrir quelles sont les meilleures pratiques de gestion des risques liés aux tiers qui correspondent aux recommandations énoncées dans NIST SP 800-53.

Lire la suite
Ressources en vedette Conformité NIST SP800 53

NIST SP 800-53r5 Recoupement des contrôles SCRM

Le tableau récapitulatif ci-dessous établit une correspondance entre les capacités des meilleures pratiques et les contrôles des vendeurs ou fournisseurs tiers figurant dans la norme SP 800-53.

NOTE : Ce tableau ne doit pas être considéré comme un guide définitif. Pour obtenir une liste complète des contrôles, veuillez consulter la publication SP 800-53 dans son intégralité et consulter votre auditeur.

SP 800-53r5 Contrôles spécifiques à la chaîne d'approvisionnement Comment Prevalent peut vous aider

CA-2 (2) Évaluations de contrôle - Évaluations spécialisées

Les organisations peuvent procéder à des évaluations spécialisées, y compris la vérification et la validation, la surveillance des systèmes, l'évaluation des menaces internes, les tests d'utilisateurs malveillants et d'autres formes de tests.

CA-2 (3 ) Évaluations des contrôles - Exploitation des résultats d'organisations externes

Les organisations peuvent s'appuyer sur les évaluations de contrôle des systèmes organisationnels réalisées par d'autres organisations (externes).

Prevalent propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers, y compris ceux qui sont spécifiquement conçus pour les contrôles NIST. Avec Prevalent, vous pouvez effectuer des évaluations au moment de l'intégration du fournisseur, du renouvellement du contrat ou à n'importe quelle fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.

Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, Prevalent suit et analyse en permanence les menaces externes pesant sur des tiers. Prevalent surveille l'internet et le dark web pour détecter les menaces et les vulnérabilités de cyber , ainsi que les sources publiques et privées de sanctions pour atteinte à la réputation et d'informations financières.

Toutes les données de surveillance sont mises en corrélation avec les résultats des évaluations et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui permet de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse.

Prevalent intègre également des données opérationnelles, financières et de réputation de tiers afin d'ajouter un contexte aux conclusions de cyber et de mesurer l'impact des incidents au fil du temps.

Si nécessaire, vous pouvez analyser les rapports SOC 2 ou la déclaration d'applicabilité ISO à la place des évaluations de risques d'un fournisseur. Notre service examine la liste des lacunes de contrôle identifiées dans le rapport SOC 2, crée des éléments de risque à l'encontre de la tierce partie, et assure le suivi et le reporting des lacunes au fil du temps.

CP-2 (7) Plan d'urgence - Coordination avec les prestataires de services externes

Coordonner le plan d'urgence avec les plans d'urgence des prestataires de services externes afin de s'assurer que les exigences en matière d'urgence peuvent être satisfaites.

IR-4 (10) Traitement des incidents et coordination de la chaîne d'approvisionnement

Coordonner les activités de traitement des incidents liés à la chaîne d'approvisionnement avec d'autres organisations impliquées dans la chaîne d'approvisionnement.

IR-5 Suivi des incidents

Suivre et documenter les incidents.

IR-6 (3) Rapport d'incident - Coordination de la chaîne d'approvisionnement

Fournir des informations sur l'incident au fournisseur du produit ou du service et aux autres organisations impliquées dans la chaîne d'approvisionnement ou dans la gouvernance de la chaîne d'approvisionnement pour les systèmes ou les composants de systèmes liés à l'incident.

IR-8(1) Plan d'intervention en cas d'incident

Inclure les éléments suivants dans le plan d'intervention en cas d'incident pour les violations impliquant des informations personnelles identifiables :

(a) Un processus permettant de déterminer s'il est nécessaire d'informer les personnes ou d'autres organisations, y compris les organisations de contrôle ;

(b) un processus d'évaluation visant à déterminer l'ampleur du préjudice, de la gêne, du désagrément ou de l'injustice pour les personnes concernées, ainsi que les mécanismes permettant d'atténuer ces préjudices ; et

(c) Identification des exigences applicables en matière de protection de la vie privée.

Dans le cadre de votre stratégie globale de gestion des incidents, Prevalent veille à ce que votre programme de réponse aux incidents de tiers puisse rapidement identifier, répondre, rendre compte et atténuer l'impact des incidents de sécurité des fournisseurs tiers. PrevalentL'équipe de services manages comprend des experts spécialisés qui gèrent vos fournisseurs de manière centralisée, effectuent des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent une corrélation entre les risques et les informations de surveillance continue de cyber et émettent des conseils de remédiation au nom de votre organisation. services manages réduit considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité, coordonner avec les fournisseurs et s'assurer que des remédiations sont mises en place.

Les principales fonctionnalités du service de réponse aux incidents par des tiers (Prevalent ) sont les suivantes :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
  • Suivi en temps réel de la progression du remplissage du questionnaire
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Des règles de flux de travail pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité.
  • Modèles de rapports intégrés pour les parties prenantes internes et externes.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Prevalent analyse également des bases de données qui contiennent plusieurs années d'historique de violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications de violations de données des fournisseurs en temps réel.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts.

PM-9 Stratégie de gestion des risques

a. Élaborer une stratégie globale de gestion :

1. Le risque de sécurité pour les opérations et les biens de l'organisation, les individus, les autres organisations et la nation, associé au fonctionnement et à l'utilisation des systèmes de l'organisation ; et

2. Risque pour la vie privée des personnes résultant du traitement autorisé d'informations personnellement identifiables ;

b. mettre en œuvre la stratégie de gestion des risques de manière cohérente dans l'ensemble de l'organisation ; et

c. Examiner et mettre à jour la stratégie de gestion des risques, le cas échéant, pour tenir compte des changements organisationnels.

PM-30 Stratégie de gestion des risques de la chaîne d'approvisionnement

a. Élaborer une stratégie à l'échelle de l'organisation pour gérer les risques de la chaîne d'approvisionnement associés au développement, à l'acquisition, à la maintenance et à l'élimination des systèmes, de leurs composants et de leurs services ;

b. Mettre en œuvre la stratégie de gestion des risques liés à la chaîne d'approvisionnement de manière cohérente dans l'ensemble de l'organisation ; et

c. Réexaminer et mettre à jour la stratégie de gestion des risques liés à la chaîne d'approvisionnement selon une fréquence définie par l'organisation ou en fonction des besoins, afin de tenir compte des changements organisationnels.

Prevalent aide votre organisation à mettre en place un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité et de gouvernance de l'information, de gestion des risques de l'entreprise et de conformité.

Nos experts collaborent avec votre équipe sur :

  • Définir et mettre en œuvre des processus et des solutions TPRM et C-SCRM
  • Sélection des questionnaires et des cadres d'évaluation des risques
  • Optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - du sourcing et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétence au risque de votre organisation.

Dans le cadre de ce processus, nous vous aidons à définir :

  • Rôles et responsabilités clairs (par exemple, RACI)
  • Inventaires de tiers
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.

Avec Prevalent, votre équipe peut évaluer en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs tiers tout au long du cycle de vie de la relation.

PM 30 (1 ) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission

Identifier, hiérarchiser et évaluer les fournisseurs de technologies, produits et services critiques ou essentiels à la mission.

Prevalent quantifie les risques inhérents à tous les tiers. Les critères utilisés pour calculer le risque inhérent en vue de la hiérarchisation des tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard de tierces parties
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

PM-31 Stratégie de surveillance continue

Élaborer une stratégie de contrôle continu à l'échelle de l'organisation et mettre en œuvre des programmes de contrôle continu comprenant les éléments suivants

a. Établir des paramètres à surveiller à l'échelle de l'organisation ;

b. Établir des fréquences définies pour le suivi et l'évaluation de l'efficacité des contrôles ;

c. Contrôle permanent des paramètres définis par l'organisation conformément à la stratégie de contrôle continu ;

d. Corrélation et analyse des informations générées par les évaluations et le suivi des contrôles ;

e. les mesures de réponse aux résultats de l'analyse des informations relatives à l'évaluation et à la surveillance des contrôles ; et

f. rendre compte de l'état de la sécurité et de la protection de la vie privée des systèmes de l'organisation au personnel désigné.

Suivre et analyser en permanence les menaces externes qui pèsent sur les tiers à l'aide de Prevalent. Nous surveillons l'Internet et le dark web à la recherche de menaces et de vulnérabilités sur cyber , ainsi que de sources publiques et privées de risques pour la réputation, de sanctions et d'informations financières.

Les sources de surveillance comprennent :

  • Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
  • Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.

Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci.

Vous pouvez ensuite désigner des responsables et suivre les risques et les mesures correctives jusqu'à un niveau acceptable pour l'entreprise.

RA-1 Politique et procédures
Élaborer, documenter et diffuser :

1. Une politique d'évaluation des risques qui :

(a) il traite de l'objectif, du champ d'application, des rôles, des responsabilités, de l'engagement de la direction, de la coordination entre les entités organisationnelles et de la conformité ; et

(b) est compatible avec les lois, décrets, directives, règlements, politiques, normes et lignes directrices applicables ; et

2. Procédures visant à faciliter la mise en œuvre de la politique d'évaluation des risques et des contrôles correspondants ;

b. désigner un fonctionnaire chargé de gérer l'élaboration, la documentation et la diffusion de la politique et des procédures d'évaluation des risques ; et

c. Examiner et mettre à jour l'évaluation des risques en cours :

1. Politique et
2. Procédures.

Voir PM-9 Stratégie de gestion des risques

RA-2 (1) Catégorisation de la sécurité et hiérarchisation des niveaux d'impact

Procéder à une hiérarchisation des niveaux d'impact des systèmes organisationnels afin d'obtenir une granularité supplémentaire sur les niveaux d'impact des systèmes.

Voir PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission

RA-3 (1) Évaluation des risques - Évaluation des risques de la chaîne d'approvisionnement

(a) évaluer les risques de la chaîne d'approvisionnement associés aux systèmes, aux composants et aux services ; et

(b) mettre à jour l'évaluation des risques liés à la chaîne d'approvisionnement lorsque des changements importants interviennent dans la chaîne d'approvisionnement concernée ou lorsque des modifications du système, des environnements d'exploitation ou d'autres conditions peuvent nécessiter une modification de la chaîne d'approvisionnement.

La plateforme Prevalent TPRM comprend une vaste bibliothèque de modèles préétablis pour les évaluations des risques des tiers, y compris ceux qui sont spécifiquement conçus pour les contrôles NIST. Les évaluations peuvent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs.

RA-3 (2) Évaluation des risques et utilisation des renseignements provenant de toutes les sources

Utiliser toutes les sources de renseignements pour faciliter l'analyse des risques.

RA-3 (3) Évaluation des risques et sensibilisation dynamique aux menaces

Déterminer en permanence l'environnement actuel de la menace cyber .

RA-3 (4) Évaluation des risques et analyse prédictive Cyber

Utiliser des capacités avancées d'automatisation et d'analyse pour prévoir et identifier les risques.

RA-7 Réponse aux risques

Répondre aux conclusions des évaluations, des contrôles et des audits en matière de sécurité et de protection de la vie privée conformément à la tolérance de l'organisation à l'égard des risques.

Avec Prevalent, vous pouvez suivre et analyser en permanence les menaces externes pour les tiers. Dans ce cadre, nous surveillons l'internet et le dark web à la recherche de menaces et de vulnérabilités sur cyber , ainsi que des sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Les sources de surveillance comprennent :

  • Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
  • Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.

Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci.

Enfin, assigner des responsables et suivre les risques et les mesures correctives dans la plate-forme jusqu'à un niveau acceptable pour l'entreprise.

RA-9 Analyse de criticité

Identifier les composants et fonctions critiques du système en effectuant une analyse de criticité à des points de décision définis dans le cycle de développement du système.

Voir PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission

SR-1 Politique et procédures

Élaborer, documenter et diffuser :

1. Une politique de gestion des risques de la chaîne d'approvisionnement qui :

(a) il traite de l'objectif, du champ d'application, des rôles, des responsabilités, de l'engagement de la direction, de la coordination entre les entités organisationnelles et de la conformité ; et

(b) est compatible avec les lois, décrets, directives, règlements, politiques, normes et lignes directrices applicables ; et

2. Procédures visant à faciliter la mise en œuvre de la politique de gestion des risques liés à la chaîne d'approvisionnement et des contrôles de gestion des risques liés à la chaîne d'approvisionnement qui y sont associés ;

b. désigner un fonctionnaire chargé de gérer l'élaboration, la documentation et la diffusion de la politique et des procédures de gestion des risques liés à la chaîne d'approvisionnement ; et

c. Examiner et mettre à jour la gestion actuelle des risques liés à la chaîne d'approvisionnement :

1. Politique et
2. Procédures

Voir PM-9 Stratégie de gestion des risques

SR-2 Plan de gestion des risques de la chaîne d'approvisionnement

a. Élaborer un plan de gestion des risques de la chaîne d'approvisionnement associés à la recherche et au développement, à la conception, à la fabrication, à l'acquisition, à la livraison, à l'intégration, à l'exploitation et à la maintenance, ainsi qu'à l'élimination des systèmes, des composants de systèmes ou des services de systèmes.

b. réviser et mettre à jour le plan de gestion des risques de la chaîne d'approvisionnement, le cas échéant, pour tenir compte des changements liés aux menaces, à l'organisation ou à l'environnement ; et

c. Protéger le plan de gestion des risques de la chaîne d'approvisionnement contre toute divulgation ou modification non autorisée.

Voir PM-9 Stratégie de gestion des risques

SR-3 Contrôles et processus de la chaîne d'approvisionnement

a. Mettre en place un ou plusieurs processus permettant d'identifier et de traiter les faiblesses ou les insuffisances des éléments et des processus de la chaîne d'approvisionnement, en coordination avec le personnel de la chaîne d'approvisionnement ;

*b. Utiliser les contrôles suivants pour se protéger contre les risques liés à la chaîne d'approvisionnement pour le système, les composants du système ou les services du système et pour limiter les dommages ou les conséquences des événements liés à la chaîne d'approvisionnement ; et

c. Documenter les processus et contrôles de la chaîne d'approvisionnement sélectionnés et mis en œuvre dans le plan de gestion des risques de la chaîne d'approvisionnement*.

Voir PM-9 Stratégie de gestion des risques

SR-4 (4) Provenance - intégrité de la chaîne d'approvisionnement - pedigree

Utiliser des contrôles et des analyses pour garantir l'intégrité du système et de ses composants en validant la composition interne et la provenance des technologies, produits et services critiques ou essentiels à la mission.

Dans le cadre du processus de diligence raisonnable, Prevalent permet aux fournisseurs de fournir des nomenclatures logicielles (SBOM) actualisées pour leurs produits logiciels. Cela vous aide à identifier les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation.

SR-5 Stratégies, outils et méthodes d'acquisition

Utiliser des stratégies d'acquisition, des outils contractuels et des méthodes de passation de marchés pour se protéger contre les risques liés à la chaîne d'approvisionnement, les identifier et les atténuer.

Prevalent permet à votre équipe de centraliser et d'automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet de comparer les attributs clés.

Comme tous les fournisseurs de services sont centralisés et examinés, la plateforme Prevalent crée des profils de fournisseurs complets qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes.

Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions relatives à la sélection des fournisseurs.

SR-6 Évaluations et examens des fournisseurs

Évaluer et examiner les risques liés à la chaîne d'approvisionnement associés aux fournisseurs ou aux sous-traitants et au système, au composant de système ou au service de système qu'ils fournissent.

Voir RA-3 (1) Évaluation des risques - Évaluation des risques de la chaîne d'approvisionnement

Accords de notification SR-8

Établir des accords et des procédures avec les entités impliquées dans la chaîne d'approvisionnement du système, du composant du système ou du service du système pour la notification des compromissions de la chaîne d'approvisionnement et des résultats des évaluations ou des audits.

Prevalent permet à votre équipe de centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés.

Les capacités clés comprennent :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

SR-13 Inventaire des fournisseurs

Élaborer, documenter et tenir à jour un inventaire des fournisseurs qui :
1. Reflète de manière précise et minimale les fournisseurs de premier rang de l'organisation qui peuvent présenter un risque de cybersécurité dans la chaîne d'approvisionnement ;
2. Qui présente le niveau de granularité jugé nécessaire pour évaluer la criticité et le risque lié à la chaîne d'approvisionnement, pour assurer le suivi et pour établir des rapports ;
3. Documente les informations suivantes pour chaque fournisseur de niveau 1 (par exemple, le maître d'œuvre) : examen et mise à jour de l'inventaire des fournisseurs.
i. Identification unique de l'instrument de passation de marchés (contrat, tâche ou ordre de livraison) ;
ii. Description des produits et/ou services fournis ;
iii. Programme, projet et/ou système utilisant les produits et/ou services du fournisseur ; et
iv. Niveau de criticité attribué qui correspond à la criticité du programme, du projet et/ou du système (ou d'un composant du système).
b. Examiner et mettre à jour l'inventaire des fournisseurs.

La plateforme Prevalent TPRM centralise toutes les informations sur les fournisseurs dans un profil unique, de sorte que tous les départements qui travaillent avec les fournisseurs utilisent les mêmes informations, ce qui améliore la visibilité et la prise de décision.

Importez les fournisseurs par le biais d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement existante, éliminant ainsi les processus manuels sujets aux erreurs.

Renseignez les détails clés sur les fournisseurs à l'aide d'un formulaire d'inscription centralisé et personnalisable et du flux de travail associé. Tout le monde peut y accéder par invitation électronique, sans avoir besoin de formation ou d'expertise en matière de solutions.

Avec Prevalent, vous pouvez créer des profils de fournisseurs complets qui comparent et surveillent les données démographiques des fournisseurs, leur situation géographique, les technologies de quatrième partie et les informations opérationnelles récentes. L'accumulation de ces données vous permettra de signaler les risques de concentration géographique et technologique et de prendre des mesures pour y remédier.

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources en vedette Manuel de conformité Cybersécurité
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo