مراقبة مزودي الخدمات
الوصف
مراقبة مزودي الخدمات بشكل متسق مع سياسة إدارة مزودي الخدمات في المؤسسة. يمكن أن تتضمن المراقبة المراجعة الدورية لتقارير المراقبة الأمنية أو ملخصات شهادات الامتثال أو مراجعات التدقيق الداخلي ومعالجة الملاحظات.
قائمة التحقق من التطبيق
توصيات الأدوات
إدارة مخاطر الأطراف الثالثة مع تقييمات آلية للموردين والمراقبة المستمرة وتسجيل المخاطر
ServiceNow · اشتراك مؤسسي
منصة إدارة مخاطر الأطراف الثالثة مع أتمتة تقييم الموردين والمراقبة المستمرة وربط الامتثال
OneTrust · اشتراك مؤسسي
منصة تصنيفات أمنية توفر مراقبة مستمرة لوضع الأمن السيبراني للموردين مع تسجيل المخاطر القائم على البيانات
BitSight · اشتراك مؤسسي
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
اكتشاف اختراق مزود بعد أشهر من وقوعه
السريةيعاني مزود خدمة مراقب من اختراق لا يُكتشف لأشهر لأن المؤسسة ليس لديها برنامج مراقبة مستمر لتتبع تغييرات وضعية أمان المزود أو تعرض الويب المظلم.
ثغرة حرجة لدى مزود تبقى بدون تصحيح دون علم المؤسسة
السلامةيؤخر مزود خدمة رئيسي تصحيح ثغرة حرجة في منصته، ولا تكون المؤسسة مدركة لأنها لا تراقب ملاحظات إصدار المزود أو الإرشادات الأمنية.
بيانات اعتماد مؤسسية على الويب المظلم مرتبطة باختراق مزود
السريةتظهر بيانات اعتماد مستخدمي المؤسسة في أسواق الويب المظلم بعد اختراق مزود، لكن المؤسسة ليس لديها قدرة مراقبة لكشف هذا التعرض وتفعيل تدوير بيانات الاعتماد.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود مراقبة مستمرة لأمان مزود الخدمة
بدون مراقبة مستمرة، لا تستطيع المؤسسة كشف تغييرات في وضعية أمان المزود أو حالة الامتثال أو التعرض للاختراقات بين التقييمات الدورية.
عدم مراقبة الويب المظلم أو معلومات التهديد لتعرض المزود
يعني غياب مراقبة الويب المظلم أن المؤسسة لا تستطيع كشف متى يتم تداول أو استغلال بيانات الاعتماد أو البيانات أو الوصول المرتبط بالمزود من قبل جهات التهديد.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |