iT邦幫忙

2025 iThome 鐵人賽

DAY 25
0
Security

30 工挑戰 CompTIA Security SY0—701系列 第 25

Day 25 Third-party risk assessment and management

  • 分享至 

  • xImage
  •  

了解 potential 佮目前廠商的資安情形佮風險概況。

1. Vendor Assessment

一般的方法:

  • penetration testing
    模仿一个網路攻擊來檢查廠商系統佮資料安全的方法。會使 tī 無仝程度的 informational awareness 下進行:

    • Unknown environment
      a black box,無提供任何公司的資訊,模仿真實世界攻擊者的方法。
    • Partially known environment
      a gray box,有限的公司內部資料。
    • Known environment
      a white box,知道詳細的系統和應用程式的資訊。
    • Bug bounty
  • Right-to-audit clause
    合約內底增加一條審查廠商資安。

  • Evidence of internal audits
    要求提供廠商定期審查內部資安控管的證明。

  • Independent assessments
    利用獨立外部資安公司對廠商的資安情形的審查報告。

  • Supply chain analysis
    檢查廠商的 subcontractors 抑是供應商帶來的風險。

2. Vendor Selection

考慮下列:

  • Due diligence
    Ùi 各方面對廠商做詳細的調查。
  • Conflicts of interest
    評估 decision-makers 佮廠商敢有 existing relationships 抑是 affiliations。

3. Agreement Types

  • Service-Level Agreemant(SLA)
  • Memorandum of Agreement(MOA)
  • Memorandum of Understanding(MOU)
  • Master Service Agreement(MSA)
  • Work Order(WO)/Statement of Work(SOW)
  • Non-Disclosure Agreement(NDA)
  • Business Partnership Agreement(BPA)

4. Vendor Monitoring

5. Questionnaires

6. Rules of Engagement

  • Clarity and alignment
  • Conflict prevention
  • Efficiency
  • Risk mitigation

上一篇
Day 24 Elements of the risk management process
系列文
30 工挑戰 CompTIA Security SY0—70125
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言