我在工作中使用了不同的方法（有时将它们结合起来），这取决于我公司所使用的供应商的情况。我们有小型供应商为我们提供他们利用 AWS 托管的 SaaS 服务，或者他们可能正在提供服务（我们向他们提供数据并且他们执行分析或其他服务），或者他们可能是人员扩充等.

对于每种类型的参与：

• 我概述了 10 个领域（与 NIST 800-171 大致一致）我们会遇到风险以及一些标准问题供提供商回答，以便我们评估风险。

• 如果提供商自己使用第三方来托管他们的服务或类似服务，我会要求他们提供 SOC 1 报告。

• 在服务合同中，我与采购团队合作，以确保我们能够审计和验证问卷中所示控制措施的存在

• 我确保有一个附录，规定供应商及时向我们报告事件。

坦率地说，不能对合同进行基本安全尽职调查的小商店不应该为您提供服务。根据您的业务领域，如果供应商没有为安全问题做好准备，您将面临巨大的风险。至少，GDPR 的要求和欧盟征收的罚款应该提醒您不要掉以轻心。

查看 NIST 800–171，第 3 章中的要求列表。如果将此列表转换为针对第 3 方供应商的调查问卷，您将获得非常实用的结果。

不同组织根据其业务需求使用各种安全评估框架，例如 ISO 27001、SIG、COBIT、COSO、HITRUST、NIST、CIS 等。如果我们开始，我们可以设计一个基于框架/清单ISO 27001，双方都易于实施和解释。更进一步，可以参考 COBIT、COSO 等框架来改进清单。

问题：对于市场规模也很小且竞争对手规模大致相同，因此更换供应商不可行的非常小的供应商的风险评估，有哪些替代方法是可行的？

哦，天哪，这是一个非常深刻的问题。风险评估是一个非常复杂的事情，因环境而异，所以不用说对一家公司来说可以接受的事情，对另一家公司来说是绝对不能接受的。

由于第三方供应商没有专门的 IT 安全团队，因此由您的团队评估风险，让他们访问您的环境的远程连接。但是由于他们没有 IT 安全团队，那么风险将是巨大的，因为供应商根本没有机制来保护和/或保证它将保护将暴露给他们的敏感信息（例如远程连接凭据\连接属性）。

因为，那里的任何框架（NIST、ISO、PA DSS）都有一些共同点，例如职责分离、强制性 ITsec 政策、定期漏洞扫描等等，没有专门的 ITSEC 团队的公司只会不合规。

您的公司只有 1 种选择与他们开展业务：

签署一份 RAM（风险接受备忘录）并为他们将访问的远程环境（流量监控、一次性远程环境、暂存环境）提供最大的安全性，并希望不会发生任何不好的事情。