回答安全問卷的內容、原因和方法
已發表: 2021-08-20您有許多解決方案選項可幫助您發布安全調查問卷。
在回答安全調查問卷時,選擇較少,但您會很高興知道存在解決方案可以幫助您完成一些人認為是艱苦的手動重複過程。
存在安全調查問卷,因此組織可以驗證他們的數據在傳輸、使用和在第三方供應商處靜止時的安全性。 消費者要求他們的私人、財務、醫療和其他數據始終受到保護。 在大多數行業中,存在合規性法規以確保滿足最低保護標準。
為了證明合規性,供應商必須完成安全調查問卷作為風險評估的一部分。
傳統上,安全調查問卷以電子表格或其他可下載文檔的形式出現。 如果您想在回答問卷時節省時間並確保一致性,自動化這些問卷的回答過程的技術解決方案可能是必不可少的。
越來越多的在線安全問捲門戶網站使自動化變得棘手,並要求供應商一一回答更多問題。 雖然有一些技術和技巧可以幫助加快在線門戶中的安全調查問卷的回答速度,但自動化策略嚴重依賴於專有的第三方集成,這些集成成本可能很高,並且可能只適用於一種“風格”的安全性。
作為將面臨越來越複雜的安全調查問卷的供應商,您面臨著高效、全面地回答這些問題的挑戰。
什麼是安全問卷?
當組織需要評估其數據在超出其控制範圍時(通常是在供應商手中)是否安全時,會使用安全調查表。
消費者和客戶信任組織的業務和私人數據,並假設在該組織的控制下這些數據是安全的。 組織必須確保組織外的任何個人或實體保持與組織相同的最低安全級別。
換句話說,如果你有一個空手道黑帶保鏢陪你到處去確保你的錢包安全,你不能讓任何人借你的錢包,除非他們的保鏢至少也有空手道黑帶。 當你交出錢包時,兩名保鏢都需要在場,即使交接地點也應該是完全安全的。
安全問卷一般來自以下三個地方之一:
- 建立您自己的,通常在電子表格中,包括對訪問您的數據所需的所有最低安全要求的評估(即“填寫此表格以證明您的保鏢和我的保鏢一樣好。”)。
- 自己買。 您可以使用 SIG(標準化信息收集)問卷之類的東西來評估一切。 或者,您可以使用網絡安全評估工具 Nessus 來評估特定風險。*
- 借用一份公開的安全調查問卷。 一些非營利組織提供的問卷包含由志同道合的專業人士成員商定的標準。 一個這樣的例子是雲安全聯盟 (CSA) 發布的共識評估倡議問卷 (CAIQ)。
安全調查問卷不是盡職調查問卷 (DDQ) 。 有兩個主要區別。 一,DDQ沒有那麼詳細,更注重過程。 當組織想知道您將如何遵守他們的標準並滿足他們的需求時,您可能會收到一份 DDQ。 在安全調查問卷中,您必須提供證明。
第二,與安全問卷相比,DDQ 通常在銷售過程中更早到達。 將 DDQ 視為第一個過濾器。 組織認為,如果您在 DDQ 階段不知道如何遵守,那麼在銷售過程中進一步花時間在細節上是不值得的。
這並不一定意味著安全問卷應該被視為銷售過程中的關鍵里程碑。 它們可以像 DDQ 一樣在早期出現,但它們也可以在銷售流程的進一步演示階段出現,甚至在入職計劃開始形成時出現。 收到安全調查問卷並不代表您最終成功。 但不及時準確地做出回應肯定會導致交易失敗。
為什麼需要安全調查問卷?
在過去,軟件應用程序託管在內部或內部,這意味著數據的所有者始終擁有它。 仍然有安全調查問卷,但參與度要低得多。
隨著 SaaS 的轉變,數據和業務關鍵型應用程序被第三方信任。 從安全的角度來看,組織在使用 SaaS 解決方案之前,必須對兩件事充滿信心。 第一,它的所有數據對於該 SaaS 解決方案的供應商來說都是安全的。
第二,該應用程序將在需要並符合商定的正常運行時間基準時可用(例如,您不希望人力資源系統在處理工資單之前關閉)。 由於 SaaS 解決方案的衝擊,安全調查問卷激增。
然而,安全調查問卷不僅評估特定於數據安全的方面,例如加密或存儲。 問題可能涉及網絡安全、審計和合規流程,甚至您所在位置的物理安全,僅舉幾例。 事實上,調查問卷變得越來越普遍、越來越長、越來越複雜,主要有兩個原因。
首先,SaaS 解決方案的複雜性和互連性正在增長。 很少有完全獨立的業務應用程序。 他們經常需要相互交談以幫助組織實現更大的目標。
需要相互通信的應用程序越多,風險敞口就越大,從而導致更嚴格的安全評估。
第二,威脅不斷演變。 沒有 100% 安全的系統,主要是因為無論系統變得多麼安全和智能,在某個地方總會有人類指紋。
88%
的數據洩露可歸因於人為錯誤。
資料來源:CISO Mag
從投票系統到燃料分銷網絡再到大型零售商,不良行為者可以迅速轉向在他們發現弱點的任何地方進行網絡攻擊。
安全問卷審查者的期望是什麼?
誠實、直接和完整的回應。 並尊重他們的時間。 注意說明。 有些問題需要簡短、直接的回答。 其他人則需要對現有控制類型進行詳細解釋。
即使有自動化支持,您也必須仔細考慮每個響應,以確保其得到正確回答。 如果需要由兩部分組成的答复,請始終簡要說明您的答复。 當您必須回答“否”或“不適用”時,這一點尤其重要。
你的回答並不總是肯定的。 不要因為你有計劃實施某事就說是。 這些計劃成為您可能無法履行的義務。 如果您無法交付,切勿給予肯定的回答。 始終期望客戶要求提供證據。
直截了當。 使用主動語態。 簡潔很重要。 有時會以不同的方式多次提出問題。 避免複製和粘貼,並可能聽起來迴避。 不要浪費時間試圖猜測審稿人的優先事項。 他們很少透露什麼是強制性的。 假設合規和風險團隊將使用細齒梳審查所有響應。
您的目標應該是盡可能完整地回复。 響應越完整,您進行跟進的可能性就越小——風險評估越早完成,交易就越早完成。 您不希望安全調查問卷響應阻礙交易。 它們在銷售流程的後期出現,多輪跟進或澄清會減慢流程,這將使您的銷售團隊感到沮喪。
安全問卷的關鍵組成部分
在大多數情況下,安全問卷會評估廣泛的安全控制。 期待涉及多種安全類型的問題。
安全“味道” | 示例問題 |
應用安全  | 您的 Web 應用程序是否有 SSL 證書? |
審計與合規 | 您多久審核一次加州消費者隱私法 (CCPA) 合規性? |
業務連續性 | 如果發生中斷,您的應用程序如何保持服務狀態? |
災難恢復 | 如果發生數據洩露,您需要多長時間通知我們? |
切換控制 | 緊急變更的定義是什麼? |
數據/信息安全 | 您的安全計劃遵循哪些準則? |
數據隱私 | 備份數據的流程是什麼? |
加密管理 | 產品是否使用加密或其他加密技術? |
物理安全 | 你在共享辦公空間工作嗎? |
治理與風險管理 | 您是否記錄了安全事件? |
人力資源 | 您是否培訓您的員工如何檢測網絡攻擊? |
身份和訪問管理 | 您的應用程序是否提供單點登錄 (SSO)? |
第三方管理 | 您是否將安全功能外包給第三方提供商? |
漏洞管理 | 您使用哪些軟件或技術進行漏洞分析? |
許多問題和內容要求將屬於以下四個組成部分之一。
1. 安全合規證書
安全合規性證明證明是安全調查問卷中最常要求的信息。 安全合規證書的示例包括服務組織控制 2 (SOC 2)、國際標準化組織 (ISO) 和美國國家標準與框架研究所的網絡安全框架 (NIST CSF)。
2. 網絡安全政策和政策文件
這些可能是您最耗時的。 它們涵蓋了很多領域,包括信息、物理、應用程序、基礎設施和網絡安全。 這些問題評估您的 IT 安全性、數據隱私和業務彈性策略。 有時您會被要求提供完整的保單文件。 其他時候,您會被要求提取特定部分。
3. 安全程序
該組件是組織想要評估您的程序以保護客戶信息、數據和系統的地方。
問題和要求可能集中在:
- 員工安全意識培訓程序
- 修補、升級和緩解服務器或台式機上的漏洞的程序
- 發生安全漏洞或其他事件時的事件管理程序
- 長時間停機時的災難恢復和業務連續性計劃
- 監控和跟踪惡意活動
4. IT 風險和緩解控制
如果一個組織通過將您添加為供應商來接受您的風險,那麼他們需要知道他們正在進入什麼領域。 更重要的是,他們想知道你已經在做什麼來降低風險。
您會看到如下查詢:
- 提交風險管理計劃
- 確定可能直接影響我們的數據和信息系統的風險列表
- 描述您的風險評估方法
- 列出適當的安全控制措施以降低風險
- 列出負責風險管理的人員/角色
請注意,您可能已經有了這些問題的許多答案。 問題是它們在哪裡? 這是更快地回答安全調查問卷的關鍵。
更快回復安全調查問卷的 5 個技巧
隨著 SaaS(以及基礎設施即服務 [IaaS] 和平台即服務 [PaaS])的普及,越來越多的安全調查問卷出現,準確性、效率和可重複性對於每年無縫回復多個調查問卷至關重要。 這五個技巧會有所幫助。
實施人工智能和機器學習以自動化響應
自動化解決方案已經存在。 具有諷刺意味的是,它們也是 SaaS。 重要的是,無論您是自己構建還是尋找供應商,該解決方案都具有 AI/ML 功能,可以做的不僅僅是複制和粘貼。 回應不僅僅是找到任何答案; 您必須能夠快速找到最佳答案。
開發內容管理解決方案以簡化搜索和更新答案
您可能已經獲得了安全調查問卷的大部分答案。 通常,問題在於這些答案所在的文檔是孤立的、重複的、過時的,可能只允許有限的訪問,並且不可搜索。 集中您的內容將解決這個問題。
遵循最佳實踐以減少周轉時間,同時提高準確性
您的內部和外部協作機制將推動這裡的改進。 除了支持 AI/ML 的自動化之外,還可以自動化提示主題專家回答和審查的任務。 讓您的團隊步調一致對於避免因不完整或不准確的響應而導致的令人沮喪的後續問題至關重要。
確定支持與第三方在線門戶直接交互的技術的 SaaS 解決方案
AI/ML 自動化最適用於可下載的表單,例如電子表格、文檔或 PDF。 在線門戶更麻煩,在撰寫本文時,只能通過安全問捲髮布者和響應者解決方案提供商之間的後端合作夥伴關係實現自動化。
一種可以提供幫助的技術是鏈接到您的內容庫的瀏覽器擴展門戶。 它們可幫助您更快地通過在線門戶工作,因為您無需在應用程序之間切換即可訪問答案。
在客戶截止日期之前完成安全調查問卷
這描繪了熟練和善意。 它還讓您的客戶更加安心,您在尊重他們寶貴時間的同時認真對待安全。
不要讓安全調查問卷扼殺收入
在可預見的未來,以一種或另一種形式回答安全調查問卷將成為供應商入職流程的一部分。 根據當前情況,您可以預期安全調查問卷的規模和復雜程度將繼續增長。
網絡安全支出預計將超過 1 萬億美元,第三方供應商佔數據洩露事件的 63%。 組織將希望獲得更多保證,以確保他們的數據是安全的,並且他們的應用程序將可用。
通過實施從接收到提交安全調查問卷的業務流程、盡可能多地自動化響應流程以及改進協作以使主題專家始終專注於任務,您可以加快和簡化您回答問卷的方式。 您的目標是永遠不要讓安全問捲成為銷售流程的瓶頸。