跳转到内容

回答安全调查问卷的内容、原因和方式

2021年8月20日

问卷调查

您有许多解决方案可供选择,以帮助您发布安全调查问卷。

当回答一个安全问卷时,有更少的选择,但是你会很高兴知道解决方案帮助你去做一些被认为是一个刻苦的手工、重复的过程。

存在安全调查问卷,因此组织可以验证其数据在传输、使用和与第三方供应商保持静止时是否安全。消费者要求他们的私人、金融、医疗和其他数据始终处于安全状态。在大多数行业,存在合规性法规,以确保满足最低保护标准。

证明遵守在美国,供应商必须完成安全问卷,作为风险评估的一部分。

传统上,安全调查问卷以电子表格或其他可下载文档的形式送达。如果您想节省时间并确保回答问卷时的一致性,那么自动化这些问卷的响应过程的技术解决方案是必不可少的。

越来越多的在线安全问卷门户网站使自动化变得棘手,要求供应商一个接一个地回答更多问题。虽然有一些技术和技术可以帮助加快在线门户网站的安全调查问卷的回答速度,但自动化战略严重依赖专有的第三方集成,这可能是昂贵的,而且可能只适用于一种“口味”的安全。

作为一个将面临越来越复杂的安全调查问卷的供应商,您有一个挑战,那就是如何高效、全面地回答这些问题。

什么是安全问卷?

当组织需要评估其数据在其无法控制时(通常在供应商手中)是否安全时,使用安全调查问卷。

消费者和客户信任组织及其业务和私人数据,并假设在该组织的控制下数据是安全的。组织必须确保组织以外的任何个人或实体保持与组织相同的最低安全级别。

换句话说,如果你有一个空手道黑带保镖陪你去任何地方确保你的钱包安全,你不能让任何人借你的钱包,除非他们的保镖也至少有空手道黑带。当你交出钱包时,两名保镖都必须在场,即使移交地点也应该是完全安全的。

安全问卷一般来自以下三个地方之一:

  1. 建立你自己的保镖,通常是在电子表格中,其中包括访问你的数据所需的所有最低安全要求的评估(即“填写这张表格,以证明你的保镖和我的一样好”)。
  2. 买你自己的。你可以用类似SIG(标准化信息收集)的问卷调查来评估一切。或者,您可以使用Nessus评估特定风险,Nessus是一种网络安全评估工具*
  3. 借一份公开的安全调查问卷。一些非营利组织提供的调查问卷包含了由志同道合的专业人士组成的成员所同意的标准。其中一个例子就是由云安全联盟(CSA)发布的共识评估倡议问卷(CAIQ)。

安全调查问卷有一点是不正确的尽职调查问卷(DDQ). 有两个主要区别。第一,DDQ没有那么详细,更多地关注过程。当组织希望了解您将如何遵守其标准并满足其需求时,您可能会收到DDQ。在安全调查问卷中,你必须提供证据。

第二,在销售过程中,ddq通常比安全问卷来得早。可以将DDQ看作第一个过滤器。组织认为,如果您不知道如何在DDQ阶段遵守,那么就不值得在销售过程的后续细节上花费时间。

这并不一定意味着安全调查问卷应该被视为销售过程中的关键里程碑。它们可以像DDQ一样出现在早期,但它们也可以出现在销售流程的演示阶段,甚至在入职计划开始形成时出现在结束后。收到安全调查问卷并不表示您最终会成功。但如果不能及时准确地做出反应,肯定会扼杀一笔交易。

为什么需要安全调查问卷?

在过去,软件应用程序被托管在内部,这意味着数据的所有者在任何时候都拥有它。仍然有安全调查问卷,但他们已经少了很多。

随着SaaS的转变,数据和业务关键型应用程序将被信任给第三方。从安全角度来看,在一个组织加入SaaS解决方案之前,它必须对两件事充满信心。首先,SaaS解决方案的供应商将确保其所有数据的安全。

第二,该应用程序将在需要时可用,并符合商定的正常运行时间基准(例如,您不希望人力资源系统在处理工资单之前崩溃)。由于SaaS解决方案的冲击,安全调查问卷激增。

然而,安全调查问卷评估的不仅仅是数据安全的特定方面,如加密或存储。问题可能涉及网络安全、审计和合规流程,甚至您所在位置的物理安全(仅举几例)。事实上,由于两个主要原因,调查问卷变得越来越普遍、越来越长、越来越复杂。

首先,SaaS解决方案的复杂性和互联性正在增长。很少有完全独立的业务应用程序。他们经常需要互相交谈,以帮助组织实现更大的目标。

需要相互对话的应用程序越多,风险暴露就越大,从而导致更严格的安全评估。

其次,威胁不断演变。没有100%安全的系统,主要是因为无论系统多么安全和智能,总会有一个人的指纹。

88%

数据泄露可以归因于人为错误。

来源:西索杂志

从投票系统到燃料配送网络,再到大型零售商,坏行为体可以迅速转向直接网络攻击,只要他们发现弱点。

安全调查问卷的审查者期望什么?

诚实、直接、完整的回答。尊重他们的时间。注意说明书。有些问题需要简短、直接的回答。其他人则需要详细解释现有控制措施的类型。

即使有了自动化支持,您也必须仔细考虑每个响应,以确保正确回答。如果需要由两部分组成的回答,请始终简要描述您的回答。当您必须回答“否”或“不适用”时,这一点尤为重要。

你的回答不一定总是肯定的。不要因为你有计划去实施某件事就说“是”。这些计划成为你可能无法履行的义务。如果你不能交付,千万不要回答肯定。始终希望客户要求提供证据。

直截了当。使用主动语态。简洁很重要。有时问题会以不同的方式被问多次。避免复制和粘贴,并可能听起来模棱两可。不要浪费时间去猜测评论者的优先级。他们很少透露什么是强制性的。假设合规和风险团队将仔细审查所有响应。

你的目标应该是得到尽可能完整的回答。响应越完整,跟进的可能性就越小——风险评估越早完成,交易就越快完成。您不希望安全调查问卷的答复阻碍交易。他们会在销售过程中出现得较晚,而多轮的跟进或澄清会减慢销售过程,这将使您的销售团队永无止境地感到沮丧。

安全调查问卷的关键组成部分

在大多数情况下,安全调查问卷评估广泛的安全控制。预期会出现多种安全类型的问题。

安全“味道”

示例问题

应用程序安全

您的web应用程序是否具有SSL证书?

审计和遵从性

您多久审计一次《加州消费者隐私法》(CCPA)合规性?

业务连续性

在停机的情况下,您的应用程序如何保持服务状态?

灾难恢复

如果发生数据泄露,您需要多长时间通知我们?

变更控制

紧急变更的定义是什么?

数据/信息安全

你的安全计划遵循什么准则?

数据隐私

备份数据的过程是什么?

加密管理

产品是否使用加密或其他加密技术?

物理安全

你在一个共享的办公空间工作吗?

治理与风险管理

你有安全事件的记录吗?

人力资源

您是否培训员工如何检测网络攻击?

身份与访问管理

您的应用程序是否提供单点登录(SSO)?

第三方管理

您是否将安全功能外包给第三方提供商?

脆弱性管理

您使用哪些软件或技术来进行漏洞分析?

许多问题和内容要求将属于以下四个部分之一。

1.安全合规证书

安全合规性证明是安全调查问卷中最常要求的信息。安全合规证书的示例包括服务组织控制2(SOC 2)、国际标准化组织(ISO)和国家标准与框架研究所的网络安全框架(NIST CSF)。

2.网络安全政策和政策文件

这些可能是你最耗时的。它们涉及很多领域,包括信息、物理、应用程序、基础架构和网络安全。这些问题评估您的IT安全、数据隐私和业务恢复策略。有时会要求您提供完整的政策文件。其他时候,你会被要求拿出特定的部分。

3.安全程序

组织希望在此组件中评估您保护客户信息、数据和系统的程序。

问题和请求可能集中于:

  • 员工安全意识培训程序
  • 修补、升级和缓解服务器或台式机漏洞的过程
  • 事故管理程序,以应对安全违反或其他事件
  • 长时间停机时的灾难恢复和业务连续性计划
  • 监控和跟踪恶意活动

4.IT风险和缓解控制

如果一个组织打算接受你的风险,将你加入为供应商,那么他们需要知道他们在做什么。更重要的是,他们想知道你已经在做什么来降低风险。

你会看到这样的询问:

  • 提交风险管理计划
  • 确定可能直接影响我们的数据和信息系统的风险列表
  • 描述你的风险评估方法
  • 列出降低风险的安全控制措施
  • 列出负责风险管理的人员/角色

请注意,您可能已经有了这些问题的许多答案。问题是它们在哪里?这是快速回答安全问卷的关键。

快速回复安全问卷的5个技巧

随着SaaS(以及基础设施即服务[IaaS]和平台即服务[PaaS])的激增,安全性调查问卷越来越多,准确度、效率和可重复性对于每年无缝响应多个调查问卷至关重要。这五条建议会有所帮助。

实施人工智能和机器学习以自动化响应

自动化解决方案已经存在。讽刺的是,它们也是SaaS。重要的是,无论您是构建自己的解决方案还是寻找供应商,解决方案都具有AI/ML功能,不仅可以进行复制和粘贴。回应比找到答案更重要;你必须尽快找到最好的答案。

开发内容管理解决方案以简化搜索和更新答案

您可能已经获得了安全调查问卷的大部分答案。通常,问题是这些答案所在的文档是孤立的、重复的、过时的,可能只允许有限的访问,并且不可搜索。集中您的内容将解决此问题。

遵循最佳实践减少周转时间,同时提高准确性

您的内部和外部协作机制将推动此处的改进。除了AI/ML支持的自动化之外,还可以自动提示主题专家回答和审查任务。让您的团队步调一致对于避免因回答不完整或不准确而产生令人沮丧的后续问题至关重要。

确定一个支持与第三方在线门户直接交互的技术的SaaS解决方案

AI/ML自动化最适用于可下载的表单,如电子表格、文档或PDF。在线门户更麻烦,在撰写本文时,只能通过安全问卷发布者和响应者解决方案提供商之间的后端合作关系来实现自动化。

一种可以提供帮助的技术是链接到内容库的浏览器扩展门户。它们可以帮助您更快地通过在线门户进行工作,因为您不必在应用程序之间切换以获取答案。

在客户截止日期之前完成安全调查问卷

这体现了熟练和善意。您在尊重客户宝贵时间的同时,认真对待安全问题,这也让客户更加放心。

不要让安全调查问卷阻碍收入

在可预见的未来,以一种或另一种形式回答安全问题调查表将是供应商入职过程的一部分。基于当前的景观,您可以预期安全调查问卷的规模和复杂性将继续增长。

网络安全支出预计将超过1万亿美元,第三方供应商占数据泄露的63%。组织将需要更多的保证,即他们的数据将是安全的,他们的应用程序将是可用的。

通过实施从接收到提交安全调查问卷的业务流程,尽可能多地自动化响应流程,并改进协作以保持主题专家完成任务,您可以加快并简化回答调查问卷的方式。您的目标是永远不要让安全问卷成为销售流程的瓶颈。

_跟踪saas用户-management@2x
始终把安全放在首位

使用供应商安全和隐私评估软件解决方案将帮助您的企业在评估新供应商时管理风险。

_跟踪saas用户-management@2x
始终把安全放在首位

使用供应商安全和隐私评估软件解决方案将帮助您的企业在评估新供应商时管理风险。

千万不要错过一个帖子。

订阅,让您的手指紧握科技脉搏。

提交此表格即表示您同意接收G2的营销沟通。