إنشاء وصيانة جرد مزودي الخدمات
الوصف
إنشاء وصيانة جرد لمزودي الخدمات. يجب أن يسرد الجرد جميع مزودي الخدمات المعروفين بما في ذلك تصنيفهم وجهة اتصال معينة. مراجعة وتحديث الجرد سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.
قائمة التحقق من التطبيق
توصيات الأدوات
إدارة مخاطر الأطراف الثالثة مع تقييمات آلية للموردين والمراقبة المستمرة وتسجيل المخاطر
ServiceNow · اشتراك مؤسسي
منصة إدارة مخاطر الأطراف الثالثة مع أتمتة تقييم الموردين والمراقبة المستمرة وربط الامتثال
OneTrust · اشتراك مؤسسي
منصة تصنيفات أمنية توفر مراقبة مستمرة لوضع الأمن السيبراني للموردين مع تسجيل المخاطر القائم على البيانات
BitSight · اشتراك مؤسسي
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
اختراق سلسلة التوريد عبر مزود خدمة غير معروف
السريةيتم اختراق مزود خدمة لديه وصول إلى بيانات المؤسسة، لكن المؤسسة لا تستطيع تقييم التأثير أو الاستجابة بفعالية لأنه ليس لديها سجل لأي المزودين لديهم وصول إلى أي بيانات.
مزود خدمة تقنية معلومات ظلي يعمل بدون إشراف
السريةيتعاقد قسم بشكل مستقل مع مزود خدمة سحابية يعالج بيانات حساسة، وفريق الأمان غير مدرك بالعلاقة لأنه لا يوجد سجل مزودي خدمة مركزي.
وصول مزود خدمة يتيم بعد انتهاء العقد
السلامةيحتفظ مزود خدمة سابق بوصول نشط إلى أنظمة المؤسسة بعد أشهر من انتهاء العقد لأنه لا يوجد سجل يتتبع علاقات المزودين أو جهات الاتصال المعينة المسؤولة عن إدارة دورة الحياة.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود سجل مركزي لمزودي الخدمة
بدون سجل محدث لجميع مزودي الخدمة، لا تمتلك المؤسسة رؤية لأي أطراف ثالثة لديها وصول إلى بيانات أو أنظمة أو شبكات المؤسسة.
تصنيفات وجهات اتصال مزودي الخدمة غير متتبعة
يعني غياب تصنيف مزود الخدمة وجهات الاتصال المعينة أن المؤسسة لا تستطيع تحديد التعرض للمخاطر بسرعة أو تنسيق الاستجابة عندما يواجه مزود حادثاً أمنياً.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |