如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之十五：服务供应商的管理

　　CIS关键安全控制措施集（CIS Critical Security Controls，CIS Controls）系列介绍文章，本期介绍控制措施15：服务供应商的管理

笔者：国际认证信息系统审计师、软考系统分析师

　　控制措施15：服务供应商的管理

　　包含有7个细项，IG1前1项，IG2前4项，IG3全7项。

　　这7项分别是：

　　15.1 建立和维护服务提供商的清单。该清单将列出所有已知的服务提供商，包括分类)，并为每个服务提供商指定一个企业联系人。每年，或在企业发生重大变革会影响到本保障措施时，检查和更新清单。

　　15.2 建立和维护一套对服务提供者的管理策略。确保该策略涉及到服务提供商的分类、库存、评估、监控和退役。每年，或在企业发生重大变革会影响到本保障措施时，检查和更新策略。

　　15.3 分类服务提供商。分类方法可以考虑包括一个或多个特征，如数据敏感性、数据量、可用性需求、适用的法规、固有风险和减轻的风险。每年，或在企业发生重大变革会影响到本保障措施时，检查和更新分类。

　　15.4 确保服务提供商合同包括安全要求。比如包括最低安全程序要求、安全事件或数据泄露通知和响应、数据加密要求和数据处理承诺。这些安全要求必须与企业的服务提供者管理策略相一致。每年审查服务提供商的合同，以确保合同不遗漏安全要求。

　　15.5 评估符合企业的服务提供者管理策略的服务提供者。评估范围可能因分类的不同而不同，可能包括标准化评估报告的审查，如服务组织控制措施2（SOC2）和支付卡行业(PCI)合规认证(AoC)、定制问卷或其他适当严格的流程。每年至少一次重新评估服务提供商，并新签或重签合同。

　　15.6 监控与企业的服务提供者管理策略相一致的服务提供者。监控可能包括对服务提供商遵从性的定期重新评估、监控服务提供商的发布说明、以及监控暗网。

　　15.7 安全地解聘服务提供商。要考虑的包括用户和服务账户的停用、数据流的终止以及对服务提供商系统中企业数据的安全处理。

　　控制措施15的目的是使得企业能开发一套流程来评估持有敏感数据或负责企业关键IT平台或流程的服务提供商，以确保这些提供商能够适当地保护这些平台和数据。

　　大多数企业传统上使用标准的检查清单，如来自ISO27001或CIS控制措施的检查清单。通常，这个过程是通过电子表格来管理的。然而，现在有一些在线平台允许对这个流程进行集中管理。这个CIS控制措施的重点不在清单上，相反，它是程序的基本原理。要确保每年重新检查一次，因为人际关系和数据可能会发生变化。

　　无论企业的规模如何，都应该有一套关于审查服务供应商的政策，以及供应商的清单，以及如果发生事件时对业务的潜在影响相关的风险评级。如果发生了影响企业的事件，合同中也应该规定要求他们承担责任。

　　有一些第三方评估平台拥有数千家服务提供商的名单，它们试图提供一个行业的中心视图，以帮助企业做出更明智的风险决策。这些平台一般会为服务提供者给出一个动态的风险评分，通常是基于被动的技术评估，或通过其他实体进行的第三方评估来丰富其评分标准。

　　在执行合同评审时，重点关注支持本企业运行的提供商的服务或部门。拥有托管安全服务合同或聘用记录，并持有网络安全保险的第三方可以帮助降低风险。

　　当合同完成或终止时，如何安全地解除和服务提供商的合作也很重要。退役服务提供商的过程活动，可包括停用用户和服务账号、终止数据连接、以及安全地处理掉在服务提供商系统中的企业数据。

　　安全的数据处理过程可参考：

NIST® 800-88r1: Guidelines for Media Sanitization

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

本页网址二维码：