Оценки безопасности утомительны, но они снижают риск и стоят потраченного времени. И предпринимаются усилия по упрощению и автоматизации этого процесса.
«Оценка рисков поставщика» является причиной постоянно растущего числа анкет по безопасности, циркулирующих между клиентами и поставщиками услуг, которые предназначены для оценки мер безопасности со стороны поставщика.
Хотите верьте, хотите нет, но процесс анкетирования действительно имеет ценность, если он реализован правильно . Несмотря на то, что это отрасль, в которой работают очень умные люди, сообщество информационной безопасности в целом не проделало особенно впечатляющей работы по управлению способами оценки информации, систем и программ безопасности. Хотя попытки были.
Возможно, самым сложным аспектом использования вопросников является то, что они пытаются охватить большой объем информации в одном документе. Вопросы часто требуют получения информации, начиная от высокоуровневых методов обеспечения безопасности предприятия и заканчивая сведениями о данных или элементах управления, специфичных для системы. Успех оценочного вопросника часто зависит от того, насколько он интуитивно понятен человеку или лицам, заполняющим его. Если вы оцениваете поставщика, никогда не предполагайте, что люди, дающие ответы, являются профессионалами в области безопасности или аудита. Сохраняйте простоту и ясность — качество получаемой вами информации оправдает дополнительные усилия. Если вы являетесь оцениваемым поставщиком услуг и не уверены в объеме или характере задаваемых вопросов, не стесняйтесь обращаться за разъяснениями к местному специалисту по безопасности или к клиенту.