什么,为什么,怎样回答安全调查问卷

你有很多选择的解决方案来帮助你发出安全调查问卷。

回答时安全调查问卷,有更少的选择,但是你会很高兴知道解决方案来帮助你与一些人认为精心手工,重复的过程。

安全调查问卷存在组织可以验证他们的数据将在运输过程中是安全的,在使用中,并与第三方供应商在休息。消费者要求他们的私人,金融,医疗,和其他数据是安全的。在大多数行业,以确保遵从性法规存在最低保护标准。

为了证明合规,供应商必须完成安全调查问卷作为风险评估的一部分。

传统上,安全问卷调查到一个电子表格或其他形式的可下载文件。技术解决方案,自动反应过程这些问卷可以不可或缺的如果你想节省时间和确保一致性在回答问卷。

,一个趋势是,越来越多的在线安全问卷门户,使自动化棘手,需要供应商回答更多的问题。虽然有一些技术和技巧,这将有助于加快回答安全调查问卷在门户网站,自动化的策略依赖于专有第三方集成,可以是昂贵的,可能只适用于一个安全的“味道”。

作为一个供应商谁将面临更多的安全调查问卷的日益成熟,你有一个有效地回答这些问题,全面挑战。

什么是安全调查问卷?

安全调查问卷用于当一个组织需要评估他们的数据是否安全时,超出了他们的控制,一般在供应商手中。

消费者和客户信任与他们的商业和私人组织数据与假设这将是安全的在组织的控制。组织必须确保组织以外的任何个人或实体保持最低限度的安全级别的组织。

换句话说,如果你有一个保镖是空手道黑带的人无处不在,以确保你的钱包是安全的,你不能让任何人借你的钱包,除非他们的保镖也有至少一个空手道黑带的身手。和两个保镖需要当你交出钱包,即使切换发生的地方应该是完全安全的。

安全调查问卷通常来自以下三个地方之一:

1. 构建您自己的,通常在一个电子表格,包括评估最低安全要求需要访问您的所有数据(例如“填写这张表格,以证明你的保镖一样好我的保镖。”)。
2. 买你自己的。你可以周转的限制和评估所有类似的一个团体(标准化的信息收集)的问卷调查。或者你可以评估一个特定的风险,说,内萨斯,这是一个网络安全评估工具。*
3. 借一个公开可用的安全调查问卷。一些非营利组织提供的调查问卷,包括标准约定由志同道合的专业人士的加入。这样的一个例子是共识主动评估问卷(CAIQ)发布的云安全联盟(CSA)。

一件事一个安全问卷并非是一个尽职调查问卷(DDQ)。有两个主要区别。一,DDQs并不详细,更注重过程。你可能收到DDQ当一个组织想要知道你们如何符合他们的标准和满足他们的需求。这是在安全调查问卷,你必须提供证明。

2、DDQs通常在销售过程而早些时候到达安全调查问卷。想到DDQ作为第一个过滤器。组织图,如果你不知道如何遵守DDQ级,那就不值得花时间在销售过程的细节。

这并不一定意味着安全调查问卷应该被视为销售过程中关键的里程碑。他们可以在早期出现像DDQs,但他们也可以出现在演示阶段在销售过程,甚至关闭当新员工培训计划开始成形。接收一个安全问卷不是你最终的成功。但没有反应的时间和准确当然可以杀死一个交易。

为什么需要安全调查问卷?

在古代,软件应用程序驻留在房子,或前提,这意味着数据的所有者拥有它。仍有安全调查问卷,但他们更少。

SaaS的转变,数据和业务关键应用程序是可信第三方。一个组织在一个SaaS解决方案之前,它必须是自信的两件事,从安全的角度来看。一,它的所有数据将安全与SaaS解决方案的供应商。

2,应用程序将需要的时候和符合商定的正常运行时间基准(如您不希望人力资源系统下降之前处理工资)。安全调查问卷数量激增的结果的SaaS解决方案。

然而,安全问卷评估不仅仅是特定于数据安全方面,如加密和存储。问题可能包括网络安全、审计和合规流程,甚至你的位置的物理安全。事实是,问卷调查正变得越来越普遍,更长,更复杂的两个主要原因。

首先,SaaS解决方案是生长在复杂性和互连。很少有完全独立的业务应用程序。他们经常需要相互交流,帮助组织实现更大的目标。

更多的应用程序,需要相互交流,更大的风险就越大,这将导致更严格的安全评估。

第二,威胁是不断发展的。没有100%的安全系统,这主要是因为无论多么安全,智能系统,总会有某个人类的指纹。

从燃料分布网络投票系统到大型零售商,糟糕的演员能迅速主直接网络攻击无论他们找到一个弱点。

安全调查问卷评论者期望什么?

一个诚实的、直接的和完整的响应。和尊重他们的时间。注意指令。一些问题需要简短、直接的答案。其他需要详细解释关于类型的控制。

即使自动化支持,你要思考每一个反应,以确保它是正确回答。如果需要两部分的反应,总是提供一个简要的描述你的答案。这是特别重要的,当你需要回答“不”或“不适用”。

你的反应并不总是必须肯定的。不要说是因为你有一些计划来实现。这些计划成为义务,你可能无法实现。如果你不能提供从来没有肯定的答案。总是期望客户端要求的证明。

是直接的。使用主动语态。简洁很重要。有时问题多次被要求以不同的方式。避免复制和粘贴,可能听起来逃避。不要浪费时间试图猜测评论者的优先事项。他们很少揭示什么是强制性的。假设合规和风险团队将回顾一字不漏地仔细阅读所有响应。

你的目标应该是尽可能完整的响应。完成响应越多,你就越不可能跟进——风险评估完成,越早越快越可以关闭交易。你不想要安全问卷回应举起。他们在销售过程和多次跟进或澄清会减缓这一过程中,将会阻挠你的销售团队。

关键部件的安全调查问卷

在大多数情况下,安全问卷评估一个广泛的安全控制。期待跨多个类型的安全问题。

许多问题和内容需求将受以下四个组件。

1。安全合规证书

证明安全合规认证是最常用的信息安全调查问卷。安全合规证书的例子包括服务组织控制2 (SOC 2),国际标准化组织(ISO),国家标准和框架的网络安全框架(NIST CSF)。

2。网络安全政策和政策文件

这些可能是你最耗费时间的。他们涵盖了很多领域,包括信息、物理、应用程序,基础设施和网络安全。这些问题评估您的IT安全、数据隐私和业务弹性政策。有时你会被要求提供完整的政策文件。有时你会被要求退出特定部分。

3所示。安全程序

该组件是组织要评估你的程序来维护客户信息、数据和系统。

和请求可能关注的问题:

• 对员工进行安全意识培训程序
• 程序打补丁、升级和减轻漏洞服务器或桌面
• 事件管理程序的安全漏洞或其他事件
• 灾难恢复和业务连续性计划的延长停机时间
• 恶意活动的监控和跟踪

4所示。它和缓解风险控制

如果一个组织会接受你的风险通过添加你作为一个供应商,他们需要知道他们进入。更重要的是,他们想知道你正在做的,以减少风险。

你会看到调查如:

• 提交一个风险管理计划
• 识别的风险列表可以直接影响我们的数据和信息系统
• 描述你的风险评估方法
• 安全控制来降低风险
• 负责风险管理人员/角色列表

请注意,您可能已经有很多的这些问题的答案。问题是,它们位于何处?快回答安全问卷调查的关键。

5快速应对安全问卷调查的方法

还会有更多的安全调查问卷结果扩散的SaaS(和基础设施即服务(IaaS)、平台即服务(PaaS)),准确性,效率,和可重复性至关重要无缝每年应对多个问卷。这五个技巧将帮助。

实现人工智能和机器学习自动化反应

自动化解决方案已经存在。具有讽刺意味的是,他们是SaaS。什么是重要的,不管你构建自己的或寻找一个供应商,是解决人工智能/毫升的不仅仅是复制和粘贴功能。有更多的响应比找到答案;你必须能够找到最好的答案,快。

开发一个内容管理解决方案来简化搜索和更新答案

你可能已经有了大部分的安全调查问卷的答案。通常,问题是,这些答案所在的文件是孤立的,复制,过时,可能只允许有限的访问和搜索。集中你的内容将会解决这个问题。

遵循最佳实践减少周转时间的同时提高准确性

你的内部和外部协作机制将推动改善。除了AI / ML-enabled自动化,提示为主题专家回答作业和复习也可以自动化。让你的团队同步必须避免那些令人沮丧的后续问题所造成的不完整或不准确的响应。

确定一个SaaS解决方案,支持在线门户技术直接与第三方交互

AI /毫升自动化效果最好下载形式,如电子表格、文档、或pdf文件。门户网站是比较麻烦的,在撰写本文时,只能通过后台自动安全问卷发行者和应答器解决方案提供商之间的合作关系。

一种技术,可以帮助浏览器扩展门户,内容库的链接。他们帮助您更快地通过一个在线门户网站,因为你不需要切换应用程序访问的答案。

完成安全调查问卷之前,客户的最后期限

这描绘了熟练和善意。它也给客户更大的心灵的安宁,你认真对待安全,同时尊重他们的宝贵的时间。

不要让安全调查问卷一把捏住收入

回答安全调查问卷在一种或另一种形式将在可预见的未来供应商新员工培训过程的一部分。基于当前景观,你可以期望安全问卷继续增长的规模和复杂性。

网络安全开支将超过1万亿美元,和第三方供应商占63%的数据泄露。组织将会想要更多的保证他们的数据将是安全的,他们的应用程序可用。

通过实施业务流程从摄入安全问卷提交,尽可能多的反应过程的自动化,并改善合作保持主题专家的任务,您可以加快和简化你如何回答问卷。你的目标是不要让安全调查问卷是一个瓶颈销售的过程。