此篇文章发布距今已超过95天,您需要注意文章的内容或图片是否可用!
问题6:安全和风险管理
一家软件初创公司在过去三年经历了飞速的增长。高级管理层和招聘部门一直在努力招聘更多的内部开发人员,但需求仍然没有得到满足。该组织已经决定将这项工作外包给第三方软件开发供应商。在此之前,他们必须进行尽职调查。选项A、B、C和D都是将业务流程外包给任何类型的第三方公司之前要做的重要事情。在这个问题中很难排除两个选项,因为它们看起来都是正确的。你必须选择一个必须“首先”要做的事情,而这件事情又恰好能够包含所有其他选择的。合规和隐私可能是最重要的,因为他们需要遵守当地的法律。(ISC)2道德准则的第二准则规定:“行为光荣、诚实、公正、负责和合法。”专业安全人员必须在其提供服务的土地范围内合法行事。法律永远优先一个组织的内部政策。这两个条款很重要,因为违反合规和隐私可能会导致罚款。线索:如果在项目开始时不考虑安全因素,那么这些风险可能会在整个项目过程中一直存在。治理的重要性不仅仅是正式建立高级执行领导层。安全治理是一种声明,表明一家公司不仅重视数据保护、风险管理程序,或在其业务功能中保持安全,而且正在对其进行监控和验证。能力成熟度模型 (CMMI)为供应商提供了一个框架,以不断提高他们的软件开发方法、过程、程序和总体原则的成熟度。仅仅想要有更好的安全是不够的,还要知道如何为它做计划。一个试图比前一天做得更好的组织是一个认真对待安全开发的组织。但是在这个问题里,首先是需要对CMMI进行验证吗?对于初创公司来说,找到一个能够很快开始满足客户要求的供应商是一件很紧迫的事情。选择C正是这家初创公司正在寻找软件供应商为他们做的事情。但这是首先应该考虑的事情吗? 在做尽职调查之前应该先谈生意吗?在进入任何企业之前了解风险,是公司进行适当尽职调查的最好例子。当涉及到第三方组织时,这一点尤其重要,这些组织超出了您自己组织的政策和最佳实践的范围。当与第三方打交道时,企业将自己暴露在金融、信誉、运营、法律和监管的风险中。这是首先进行风险评估的理由吗?必须确认第三方供应商的遵从性框架、隐私准则、治理结构和他们的软件开发生命周期。正是对这些因素的确认,使客户能够验证与他们做生意的公司是否信誉良好,具有强大的安全基础。它还可以暴露供应商是否向客户展示了专业的前端,在现实中,没有适当的成熟度级别,就会有混乱和不受管理的后端业务结构。CMMI定义了一个组织的演化流程改进步骤,从初始阶段(成熟度级别1),一直到优化阶段(成熟度级别5)。无论是作为一个坚持验证过程的公司,还是不坚持的公司。CMMI级别都可以帮助它脱颖而出。需求、截止日期和完成工作的保证可以在服务水平协议(SLA)中定义。SLA提出了客户和供应商之间的工作合同义务。这是一种确保客户和供应商都知道一方责任到哪里为止,另一方责任从哪里开始的方法。一个组织的风险超出了他们自己的领域,并延伸到他们的第三方关系的生态系统中,那里几乎小到不可见。第三方风险评估是主动测量:无论是完成供应商的自我评估还是积极的现场检查,在签订任何合同之前进行完整的第三方风险评估都是很重要的。风险评估是一种衡量第三方为其产品或服务提供保证水平的方法。在任何形式的合作、风险、购买、收购、开发或计划之前,应该考虑计算一个组织愿意容忍的风险的数量。在决定做任何事情之前,安全方面需要进行尽职调查和计算相关风险。选项A可以作为选项D的一部分来执行。风险评估可能已经根据第三方文档的法规遵从性、隐私政策、公司治理和软件开发生命周期过程进行了彻底的检查。这种类型的评估将提供更好的可视性和更现实的供应商视图。第三方评估还提供高水平监管,这样初创公司就可以做出有助于继续发展的商业决策,而不会因为与自身组织无关的问题而减速。对于选项C,计算截止日期和完成保证是SLA中更多包含的参数。在其核心,SLA应该解决安全性、质量、及时完成性和服务未满足时的惩罚等问题。这并不是第一步,而是在风险评估完成后,当初创公司同意并对第三方及其业务运作感到满意时才会发生。选项D是像管理者一样思考。CISSP考试需要像一个管理者在一个较高的层次上思考,以确保正确的程序用在适当的地方。在任何行动或采购开始之前。由于它影响整个组织,确保风险评估的执行应该是外包过程的第一步。生意就是生意,所以说到信息安全,你的合作伙伴的问题也是你的问题。本公众号各类文章仅供学习交流之用!
更多资料获取,请加入CISSP Learning知识星球
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...