供应商安全评估

Q: 供应商安全评估 是什么?

在业务合作开始前及合作期间,对第三方供应商的安全控制、策略与实践进行的结构化评估,用以衡量其带来的风险。 它属于网络安全的 合规与框架 分类。

Q: 如何防御 供应商安全评估?

针对 供应商安全评估 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

供应商安全评估是什么?

供应商安全评估在业务合作开始前及合作期间,对第三方供应商的安全控制、策略与实践进行的结构化评估,用以衡量其带来的风险。

供应商安全评估是对供应商的信息安全态势进行审查的过程,用以判断与其合作是否可接受,并确定后续监督的条件。评估通常从固有风险分级(数据敏感度、系统访问范围、业务关键性)开始,据此确定评估深度,随后通过安全问卷(SIG、CAIQ)、审计报告(SOC 2 Type II、ISO/IEC 27001 证书)、渗透测试摘要、安全评级,以及必要时的技术或现场验证来收集证据。评估结果会被打分,缺口会被跟踪至整改完成,并据此形成合同条款、风险接受或拒绝合作的决定。评估会定期重复,并在发生重大变更后再次进行,构成更广泛的供应商及第三方风险管理项目的证据采集核心。

● 示例

01
某银行在引入新的支付处理商之前,发送 SIG 问卷并要求提供有效的 SOC 2 Type II 报告。
02
某 SaaS 采购方在合同续约时委托提供渗透测试摘要,并每年复核供应商的安全评级。

● 常见问题

供应商安全评估是什么?

在业务合作开始前及合作期间,对第三方供应商的安全控制、策略与实践进行的结构化评估,用以衡量其带来的风险。它属于网络安全的合规与框架分类。

供应商安全评估是什么意思?

在业务合作开始前及合作期间,对第三方供应商的安全控制、策略与实践进行的结构化评估,用以衡量其带来的风险。

如何防御供应商安全评估?

针对供应商安全评估的防御通常结合技术控制与运营实践,详见上方完整定义。

供应商安全评估还有哪些其他名称?

常见的别称包括: 第三方安全评估, 供应商安全审查。

供应商安全评估 是什么?

● 示例

● 常见问题

● 相关术语

供应商安全评估是什么?