回答安全问卷的内容、原因和方法
已发表: 2021-08-20您有许多解决方案选项可帮助您发布安全调查问卷。
在回答安全调查问卷时,选择较少,但您会很高兴知道存在解决方案可以帮助您完成一些人认为是艰苦的手动重复过程。
存在安全调查问卷,因此组织可以验证他们的数据在传输、使用和在第三方供应商处静止时的安全性。 消费者要求他们的私人、财务、医疗和其他数据始终受到保护。 在大多数行业中,存在合规性法规以确保满足最低保护标准。
为了证明合规性,供应商必须完成安全调查问卷作为风险评估的一部分。
传统上,安全调查问卷以电子表格或其他可下载文档的形式出现。 如果您想在回答问卷时节省时间并确保一致性,自动化这些问卷的回答过程的技术解决方案可能是必不可少的。
越来越多的在线安全问卷门户网站使自动化变得棘手,并要求供应商一一回答更多问题。 虽然有一些技术和技巧可以帮助加快在线门户中回答安全调查问卷的速度,但自动化策略严重依赖专有的第三方集成,这些集成成本可能很高,并且可能只适用于一种“风格”的安全性。
作为将面临越来越复杂的安全调查问卷的供应商,您面临着高效、全面地回答这些问题的挑战。
什么是安全问卷?
当组织需要评估其数据在超出其控制范围时(通常是在供应商手中)是否安全时,会使用安全调查表。
消费者和客户信任组织的业务和私人数据,并假设在该组织的控制下这些数据是安全的。 组织必须确保组织外的任何个人或实体保持与组织相同的最低安全级别。
换句话说,如果你有一个空手道黑带保镖陪你到处去确保你的钱包安全,你不能让任何人借你的钱包,除非他们的保镖至少也有空手道黑带。 当你交出钱包时,两名保镖都需要在场,即使交接地点也应该是完全安全的。
安全问卷一般来自以下三个地方之一:
- 建立您自己的,通常在电子表格中,包括对访问您的数据所需的所有最低安全要求的评估(即“填写此表格以证明您的保镖和我的保镖一样好。”)。
- 自己买。 您可以使用 SIG(标准化信息收集)问卷之类的东西来评估一切。 或者,您可以使用网络安全评估工具 Nessus 来评估特定风险。*
- 借用一份公开的安全调查问卷。 一些非营利组织提供的问卷包含由志同道合的专业人士成员商定的标准。 一个这样的例子是云安全联盟 (CSA) 发布的共识评估倡议问卷 (CAIQ)。
安全调查问卷不是尽职调查问卷 (DDQ) 。 有两个主要区别。 一,DDQ没有那么详细,更注重过程。 当组织想知道您将如何遵守他们的标准并满足他们的需求时,您可能会收到一份 DDQ。 在安全调查问卷中,您必须提供证明。
第二,与安全问卷相比,DDQ 通常在销售过程中更早到达。 将 DDQ 视为第一个过滤器。 组织认为,如果您在 DDQ 阶段不知道如何遵守,那么在销售过程中进一步花时间在细节上是不值得的。
这并不一定意味着安全问卷应该被视为销售过程中的关键里程碑。 它们可以像 DDQ 一样在早期出现,但它们也可以在销售流程的进一步演示阶段出现,甚至在入职计划开始形成时出现。 收到安全调查问卷并不代表您最终成功。 但不及时准确地做出回应肯定会导致交易失败。
为什么需要安全调查问卷?
在过去,软件应用程序托管在内部或内部,这意味着数据的所有者始终拥有它。 仍然有安全调查问卷,但参与度要低得多。
随着 SaaS 的转变,数据和业务关键型应用程序被第三方信任。 从安全的角度来看,组织在使用 SaaS 解决方案之前,必须对两件事充满信心。 第一,它的所有数据对于该 SaaS 解决方案的供应商来说都是安全的。
第二,该应用程序将在需要并符合商定的正常运行时间基准时可用(例如,您不希望人力资源系统在处理工资单之前关闭)。 由于 SaaS 解决方案的冲击,安全调查问卷激增。
然而,安全调查问卷不仅评估特定于数据安全的方面,例如加密或存储。 问题可能涉及网络安全、审计和合规流程,甚至您所在位置的物理安全,仅举几例。 事实上,调查问卷变得越来越普遍、越来越长、越来越复杂,主要有两个原因。
首先,SaaS 解决方案的复杂性和互连性正在增长。 很少有完全独立的业务应用程序。 他们经常需要相互交谈以帮助组织实现更大的目标。
需要相互通信的应用程序越多,风险敞口就越大,从而导致更严格的安全评估。
第二,威胁不断演变。 没有 100% 安全的系统,主要是因为无论系统变得多么安全和智能,在某个地方总会有人类指纹。
88%
的数据泄露可归因于人为错误。
资料来源:CISO Mag
从投票系统到燃料分销网络再到大型零售商,不良行为者可以迅速转向在他们发现弱点的任何地方进行网络攻击。
安全问卷审查者的期望是什么?
诚实、直接和完整的回应。 并尊重他们的时间。 注意说明。 有些问题需要简短、直接的回答。 其他人则需要对现有控制类型进行详细解释。
即使有自动化支持,您也必须仔细考虑每个响应,以确保其得到正确回答。 如果需要由两部分组成的答复,请始终简要说明您的答复。 当您必须回答“否”或“不适用”时,这一点尤其重要。
你的回答并不总是肯定的。 不要因为你有计划实施某事就说是。 这些计划成为您可能无法履行的义务。 如果您无法交付,切勿给予肯定的回答。 始终期望客户要求提供证据。
直截了当。 使用主动语态。 简洁很重要。 有时会以不同的方式多次提出问题。 避免复制和粘贴,并可能听起来回避。 不要浪费时间试图猜测审稿人的优先事项。 他们很少透露什么是强制性的。 假设合规和风险团队将使用细齿梳审查所有响应。
您的目标应该是尽可能完整地回复。 响应越完整,您进行跟进的可能性就越小——风险评估越早完成,交易就越早完成。 您不希望安全调查问卷响应阻碍交易。 它们在销售流程的后期出现,多轮跟进或澄清会减慢流程,这将使您的销售团队感到沮丧。
安全问卷的关键组成部分
在大多数情况下,安全问卷会评估广泛的安全控制。 期待涉及多种安全类型的问题。
安全“味道” | 示例问题 |
应用安全  | 您的 Web 应用程序是否有 SSL 证书? |
审计与合规 | 您多久审核一次加州消费者隐私法 (CCPA) 合规性? |
业务连续性 | 如果发生中断,您的应用程序如何保持服务状态? |
灾难恢复 | 如果发生数据泄露,您需要多长时间通知我们? |
切换控制 | 紧急变更的定义是什么? |
数据/信息安全 | 您的安全计划遵循哪些准则? |
数据隐私 | 备份数据的流程是什么? |
加密管理 | 产品是否使用加密或其他加密技术? |
物理安全 | 你在共享办公空间工作吗? |
治理与风险管理 | 您是否记录了安全事件? |
人力资源 | 您是否培训您的员工如何检测网络攻击? |
身份和访问管理 | 您的应用程序是否提供单点登录 (SSO)? |
第三方管理 | 您是否将安全功能外包给第三方提供商? |
漏洞管理 | 您使用哪些软件或技术进行漏洞分析? |
许多问题和内容要求将属于以下四个组成部分之一。
1. 安全合规证书
安全合规性证明证明是安全调查问卷中最常要求的信息。 安全合规证书的示例包括服务组织控制 2 (SOC 2)、国际标准化组织 (ISO) 和美国国家标准与框架研究所的网络安全框架 (NIST CSF)。
2. 网络安全政策和政策文件
这些可能是您最耗时的。 它们涵盖了很多领域,包括信息、物理、应用程序、基础设施和网络安全。 这些问题评估您的 IT 安全性、数据隐私和业务弹性策略。 有时您会被要求提供完整的保单文件。 其他时候,您会被要求提取特定部分。
3. 安全程序
该组件是组织想要评估您的程序以保护客户信息、数据和系统的地方。
问题和要求可能集中在:
- 员工安全意识培训程序
- 修补、升级和缓解服务器或台式机上的漏洞的程序
- 发生安全漏洞或其他事件时的事件管理程序
- 长时间停机时的灾难恢复和业务连续性计划
- 监控和跟踪恶意活动
4. IT 风险和缓解控制
如果一个组织通过将您添加为供应商来接受您的风险,那么他们需要知道他们正在进入什么领域。 更重要的是,他们想知道你已经在做什么来降低风险。
您会看到如下查询:
- 提交风险管理计划
- 确定可能直接影响我们的数据和信息系统的风险列表
- 描述您的风险评估方法
- 列出适当的安全控制措施以降低风险
- 列出负责风险管理的人员/角色
请注意,您可能已经有了这些问题的许多答案。 问题是它们在哪里? 这是更快地回答安全调查问卷的关键。
更快回复安全调查问卷的 5 个技巧
随着 SaaS(以及基础设施即服务 [IaaS] 和平台即服务 [PaaS])的普及,越来越多的安全调查问卷出现,准确性、效率和可重复性对于每年无缝回复多个调查问卷至关重要。 这五个技巧会有所帮助。
实施人工智能和机器学习以自动化响应
自动化解决方案已经存在。 具有讽刺意味的是,它们也是 SaaS。 重要的是,无论您是自己构建还是寻找供应商,该解决方案都具有 AI/ML 功能,可以做的不仅仅是复制和粘贴。 回应不仅仅是找到任何答案; 您必须能够快速找到最佳答案。
开发内容管理解决方案以简化搜索和更新答案
您可能已经获得了安全调查问卷的大部分答案。 通常,问题在于这些答案所在的文档是孤立的、重复的、过时的,可能只允许有限的访问,并且不可搜索。 集中您的内容将解决这个问题。
遵循最佳实践以减少周转时间,同时提高准确性
您的内部和外部协作机制将推动这里的改进。 除了支持 AI/ML 的自动化之外,还可以自动化提示主题专家回答和审查的任务。 让您的团队步调一致对于避免因不完整或不准确的响应而导致的令人沮丧的后续问题至关重要。
确定支持与第三方在线门户直接交互的技术的 SaaS 解决方案
AI/ML 自动化最适用于可下载的表单,例如电子表格、文档或 PDF。 在线门户更麻烦,在撰写本文时,只能通过安全问卷发布者和响应者解决方案提供商之间的后端合作来实现自动化。
一种可以提供帮助的技术是链接到您的内容库的浏览器扩展门户。 它们可帮助您更快地通过在线门户工作,因为您无需在应用程序之间切换即可访问答案。
在客户截止日期之前完成安全调查问卷
这描绘了熟练和善意。 它还让您的客户更加安心,您在尊重他们宝贵时间的同时认真对待安全。
不要让安全调查问卷扼杀收入
在可预见的未来,以一种或另一种形式回答安全调查问卷将成为供应商入职流程的一部分。 根据当前情况,您可以预期安全调查问卷的规模和复杂程度将继续增长。
网络安全支出预计将超过 1 万亿美元,第三方供应商占数据泄露事件的 63%。 组织将希望获得更多保证,以确保他们的数据是安全的,并且他们的应用程序将可用。
通过实施从接收到提交安全调查问卷的业务流程、尽可能多地自动化响应流程以及改进协作以使主题专家专注于任务,您可以加快并简化您回答问卷的方式。 您的目标是永远不要让安全问卷成为销售流程的瓶颈。