加速供应商尽职调查

更快,更好,更便宜的供应商审查解决方案

供应商尽职调查和供应商风险管理可能具有挑战性

供应商风险管理是挑战性的
 

我们专有的加速供应商尽职调查(AVDD)工具是供应商风险管理(VRM)行业的范式转换。通过AVDD,您不需要继续与供应商尽职调查相同的问题路径。

 

 

我们的AVDD工具+我们的TPRM专家如何解决您的供应商尽职调查挑战

 

加速供应商风险管理福利

 

我们帮助成千上万的公司在过去的20年里管理供应商尽职调查和第三方风险 - 这是“我们所做的事情”。

安排您的AVDD演示

 

我们经过验证的供应商尽职调查进程(在几分钟内完成)

步骤#1:根据其唯一的上下文为每个供应商生成固有风险分数。
步骤#2:动态生成特定于风险的供应商和内部问卷。
步骤3:导入供应商和内部完成的问卷并衡量残余风险。
步骤#4:如有必要,请为供应商上下文化,可操作的建议提供。

步骤#1:根据其唯一的上下文为每个供应商生成固有风险分数。

每个供应商的风险都不同...因此相应地对待它们。

  • 不同的供应商有不同的数据访问方式(例如,现场,遥控器,SaaS)。
  • 不同的供应商可以访问不同类型的数据(例如,PCI,PI,PHI,IP)。
  • 不同的供应商可以访问不同数量的数据。
  • 因此,生成风险评估/得分是有道理的,您可以使用作为特定于每个供应商风险的独特问卷的基础......

步骤#2:动态生成特定于风险的供应商和内部问卷。

创建问卷,完美地匹配每个供应商摆在的风险。

查看以下例子:

  • 我们需要一个调查问卷,专注于HR控制的HR控制与实际但没有逻辑访问的门户和其他供应商。
  • 我们需要调查问卷,专注于托管服务器的物理,主机,网络控件和可用性。
  • 我们需要调查问卷,专注于SaaS提供商的物理,主机和网络控制,可用性,IAM和应用程序安全性。
  • 是我们的内部物理安全控制(例如,警卫,视频,电子障碍,数据中心控件),足以监视/控制/记录选手和其他供应商的物理但逻辑访问?
  • 是我们特权的用户帐户管理,网络隔离,资产管理,安全记录,以及足以确保安全和投诉云使用的事件响应控制?
  • 是我们的特权用户帐户管理,端点保护,用户认证,数据分类和数据泄漏保护控制,足以确保SaaS服务的安全和投诉?

步骤3:导入供应商和内部完成的问卷并衡量残余风险。

使用每个供应商/内部控制的成熟度来计算您的剩余风险

  • 每个控制的0-5分数决定了所识别的每种风险的程度。
  • 将剩余的(残差)风险与为该供应商指定的可接受风险进行比较。
  • 生成供应商摘要报告,该报告规定了实现可接受的残余风险评分所需的任何其他风险处理。

步骤#4:如有必要,请为供应商上下文化,可操作的建议提供。

使用自动生成的报告,验证所实施的控件是否满足或超过降低可接受水平风险所需的控制级别。

必要时,通过基线配置(CFG-O2)从2.0到至少3.0的当前成熟度(CFG-O2)来传达所需的内容(例如,“,从其所需的成熟指南)。”)

从Pivot Point Security加速供应商尽职调查(AVDD)

打破限制法则

快点

自动适当调查评论可以完成15分钟。人工验证和调查问卷通常增加1-8小时。

更好的

在开始时正确的上下文环境,侧重于供应商,供应商关系所有者和审阅者对管理风险最为严重的控件,从而更准确地验证总解决方案的净安全。

更便宜

利用自动化来正确规模和重点尊重审查意味着他们在较短的时间范围内和您的团队投资更少的时间,以显着降低的总成本(是的,我们的营销人员对我们的使用不满意“便宜的” :>))

您可以通过供应商的评论继续进行研磨,或者您可以通过枢轴点安全使用AVDD来供电。

安排您的AVDD演示

 

经常问的问题

  • AVDD如何提供?

PPS提供AVDD作为托管服务(支持顾问),并将在SaaS模型中提供AVDD,并作为工具集成的JSON API。

  • AVDD安全吗?

AVDD在AWS中运行,是ISO 27001认证。更重要的是,AVDD无法存储您的数据。

  • 是AVDD经过验证的吗?

PPS已使用ARM(潜在风险评估引擎)作为在过去2年中提供200多个风险和供应商评估的内部服务,结果结果出色。

  • 你如何用AVDD“互动”?

您单击URL,然后输入所需的输入(数据类型,影响,规则和可接受的风险),生成您的调查问卷/评估,并上传您完成的问卷。

  • 手臂(AVDD的骨干)如何工作?

加速风险管理(ARM)是一个专家系统,具有预定义的漏洞和威胁。 ARM能够准确地量化的可能性和影响每一个数据类型您的进程。它实际上计算了风险宇宙中的每一个潜在风险。

  • 手臂是否已被验证?

ARM经过几十个成功的ISO 27001,SOC 2,HIPAA,NIST和SEC审核。它完全符合ISO 27005和NIST SP 800-30等主要风险管理框架的要求。

  • ARM如何与其他风险方法进行比较?

像八度,公平,伊拉姆,800-30和ISO 27005,ARM将标准化模型应用于风险分析;它采用自动,以信息为中心(非资产为中心)的方法。

  • 手臂定性或定量吗?

ARM提供定性(低/中/高)和半定量(0-100)机制来分析风险。 (我们更喜欢后一种方法,因为它在风险管理决策中提供了更高的粒度)。

  • 什么是“固有风险”?

固有风险=威胁的业务影响利用漏洞*发生这种影响的可能性(对于您评估的每个数据类型,您将添加一个影响标准)

  • 什么是“残余风险”?

剩余风险=固有的风险 - 对当前控制实施的修复减少了风险:ARM根据每个控制的成熟度调整修复量。

  • ARM支持关键信息安全标准吗?

ARM考虑跨越125 +安全性和隐私标准的800个控件(ISO 27001,SOC 2,HIPAA,NIST 800-171,CMMC,PCI等)

  • 手臂使用什么文件格式?

ARM在Excel中产生所有调查问卷和风险评估,使它们尽可能易于使用。