[更新 2024] 经认证专家验证的 CTPRP 免费测试引擎 [Q62-Q83]

在第三方风险评估期间进行尽职调查，是核实和验证第三方提供的信息，以及 识别和评估关系中可能出现的任何潜在风险或问题的过程。尽职调查的方法可能因第三方参与的类型、范围和复杂程度而异，但一般涉及以下步骤123：
* 采访主题专家或控制负责人：这种方法涉及与组织和第三方的相关利益方接触，如业务所有者、项目经理、法律顾问、合规官、安全分析师等。访谈的目的是收集更多有关第三方能力、流程、政策、绩效和挑战的信息，并澄清问卷或其他来源可能提出的任何问题或疑虑。访谈还有助于在双方之间建立默契和信任，并找出所提供信息中的任何差距或差异。
* 审查合规人工制品：这种方法包括检查支持第三方声明或主张的证据或文件，如认证、认可、审计报告、政策、程序、合同、服务水平协议等。审查的目的是核实人工制品的准确性、完整性和有效性，并评估其符合适用标准、法规和最佳实践的程度。审查还有助于确定第三方控制或流程中需要改进的地方或薄弱环节。
* 验证控制措施：这种方法涉及测试或检查第三方控制措施或流程（如安全措施、质量保证、数据保护、 事故响应等）的实际执行情况和有效性。验证的目的是确认控制措施是否按预期运行，是否足以减轻评估中发现的风险或问题。验证还有助于发现第三方控制或流程中的任何漏洞或缺口。
其他选项不如上述方法全面或准确，因为它们可能无法涵盖第三方风险评估的所有方面或层面，或者它们可能依赖于不完整或过时的信息。通过参观设施检查物理和环境安全控制只是验证方法的一部分，可能不适用于所有类型的第三方，如云服务提供商或远程工作者，也不可行。审查问卷调查结果的状态并制定补救计划更像是一种跟进或监控活动，而不是尽职调查方法，因为它假定问卷调查已经完成并进行了分析。仅审查和评估合同中明确规定的义务是一种狭隘和有限的方法，因为它可能无法全面反映第三方关系的范围或复杂性，或所涉风险或问题的动态和演变性质。参考资料：
* 第三方尽职调查--一个重要但具有挑战性的过程
* 基于风险的第三方尽职调查指南 - VinciWorks
* 第三方风险评估 - 核对表和最佳做法

网络内容可访问性指南 (WCAG) 是一套标准，旨在让有视觉、听觉、认知或运动障碍的残障人士更容易访问网络内容。虽然 WCAG 是网络开发和可用性方面的良好实践，但它与网络应用程序的安全性没有直接关系。
WCAG 并不涉及网络应用程序所面临的常见安全风险，如注入、验证失效、配置错误或易受攻击的组件。因此，与其他方案不同，遵守 WCAG 并不是确保网络应用安全的方法。参考资料
* 4：OWASP Top 10 是一份关于网络应用程序安全的标准认知文件，它列出了网络应用程序最关键的安全风险，并提供了预防或减轻这些风险的最佳实践。
* 5：领先的网络安全培训和认证提供商 SANS Institute 提供了一份网络应用技术（SWAT）安全清单，其中涵盖了错误处理、数据保护、配置、身份验证、会话管理、输入和输出处理以及访问控制方面的最佳实践。
* 6：Built In 是一个面向技术专业人员的平台，它提供了 13 种网络应用程序安全最佳实践，如使用网络应用程序防火墙、跟踪应用程序接口、执行预期的应用程序行为，以及遵循 OWASP Top 10 等。

影子 IT 是指使用未经官方 IT 部门授权、批准或支持的 IT 系统、服务或设备。影子 IT 可能会给组织的数据安全、合规性、性能和声誉带来重大风险。影子 IT 的主要风险之一是往往缺乏治理和安全监督。这意味着影子 IT 功能可能不会遵循既定的 IT 管理政策、标准和最佳实践，如数据保护、访问控制、加密、备份、修补、审计和报告。这会使组织面临各种威胁，如数据泄露、网络攻击、恶意软件感染、法律责任、监管罚款和声誉受损。此外，影子 IT 还会造成运营效率低下、兼容性问题、工作重复以及组织成本增加。
根据search_web工具的网络搜索结果，影子IT在许多组织中是一种常见且日益增长的现象，尤其是随着基于云的服务和应用程序的普及。一些文章提出了以下管理和降低影子 IT 风险的最佳实践123：
* 执行 SaaS 评估，主动检测影子 IT
* 优先考虑用户体验（UX）并为集成工具提供支持
* 简化用户账户和身份管理
* 使用员工熟悉的操作系统和设备
* 妥协并与用户合作，最大限度地降低影子 IT 风险
* 教育和培训用户了解影子 IT 的安全风险和后果
* 为信息技术的采购和使用制定明确的政策和指导方针
* 在 IT 和业务部门之间创建信任和透明的文化 因此，问题的验证答案是 B。"影子 IT "功能通常缺乏治理和安全监督。
参考资料
* 影子 IT 解析：风险与机遇 - BMC 软件
* 只需 3 个步骤就能开始降低组织的影子 IT 风险
* 什么是影子 IT？- 文章 | SailPoint

进行供应商重新评估的频率不一定由监管义务规定，而是取决于供应商的风险等级和关键程度，以及供应商环境、绩效和控制措施的变化。监管义务可为供应商重新评估提供一些指导或最低要求，但它们不是重新评估频率的唯一决定因素。根据《共享评估计划工具用户指南》，"重新评估的频率应基于供应商的风险评级和关键性，以及供应商环境、绩效或控制措施的任何变化。监管指南也可能影响重新评估的频率。"1 同样，《CTPRP 研究指南》指出，"重新评估的频率应基于供应商的风险评级和关键程度，以及供应商环境、性能或控制措施的任何变化。监管指南也可能影响重新评估的频率 "2：
* 共享评估计划工具用户指南
* CTPRP 学习指南

在信息技术资产报废（EOL）流程中，通常不包括专门为确定报废而进行定期风险评估的要求。报废流程一般侧重于管理已达到使用寿命或支持期的 IT 资产的退役和安全处置。这包括跟踪资产状态、管理第三方系统和应用程序的更新和支持，以及建立日落时安全销毁资产的程序。虽然风险评估在整个 IT 资产管理中至关重要，但它们通常不是确定资产使用寿命状态的直接组成部分，而更多时候是基于运行效果、制造商支持和技术淘汰。
参考资料
* IT 资产管理和处置的最佳实践，如《NIST 媒体消毒指南》（NIST SP 800-88）中概述的实践，重点关注 IT 资产的安全和对环境负责任的处置，而没有具体规定对确定 EOL 进行定期风险评估。
* 国际 IT 资产管理者协会（IAITAM）的 "IT 资产处置（ITAD）最佳实践指南 "深入介绍了有效的 EOL 流程，包括跟踪、更新和安全销毁 IT 资产。

实物访问程序和活动日志是第三方风险管理的重要组成部分，因为它们有助于确保组织及其第三方的实物资产和数据的安全性和完整性。
然而，要求为审计目的无限期保留实物访问日志并非最佳做法，因为这可能会带来法律、监管和操作方面的挑战。根据《第三方关系风险管理补充审查程序》，物理访问日志应保留一段合理的时间，符合组织的政策和程序，并遵守适用的法律法规1。无限期保留物理访问日志可能会增加未经授权访问、数据泄露、隐私侵犯和诉讼的风险2。因此，只有 B 项不符合物理访问程序和活动日志的最佳实践，故为正确答案。
参考资料
* 1：如何编写第三方风险管理（TPRM）政策和程序 - SecurityScorecard 博客
* 2：管理和控制第三方风险的五项最佳实践 - Broadcom Inc.
* 3: 第三方风险管理平台清单 - Crowe LLP
* 4：第三方关系风险管理补充审查程序
* 5：第三方风险管理：第三方风险管理：为何重要以及应注意哪些特点 - 专家视角

条例是由上级或主管当局规定的具有法律效力的命令规则，涉及受其控制的人的行动。条例由各政府部门和机构发布，以执行适用辖区立法机构颁布的立法意图。条例的另一个作用是确保法律的统一适用。标准是一般由私营部门机构制定的准则，可供任何个人或组织（私人或政府）使用。该术语包括通常所说的 "行业标准 "以及
共识标准"。标准是通过利益相关者（如制造商、消费者、监管者和专家）之间自愿合作和达成共识的过程制定的。标准可以反映最佳实践、技术规范、性能标准或质量要求。标准不具有法律效力，除非被法规采纳或引用。因此，所有符合法规要求的公司都必须遵守法规，但公司也可以自愿选择遵守与其运营、产品或服务相关并对其有利的标准。参考资料：
* 法规与标准的区别
* 法规与标准：消除混淆 - AEM
* 标准与规定
* 第三方风险认证专业人员 (CTPRP) 学习指南

资产管理计划是一套政策、程序和实践，旨在优化组织资产（如实物资产、财务资产、人力资产或信息资产）的价值、性能和生命周期123。资产管理计划通常针对资产管理的以下方面制定政策要求：
* 政策规定了重复使用物理介质（如设备、服务器、磁盘驱动器等）的要求：
这项要求可确保组织在重新使用、回收或处置包含敏感或机密数据的物理介质123 前，遵循适当的程序对其进行消毒、擦除或销毁。这项要求有助于防止数据泄漏、被盗或丢失，并保护组织的声誉和合规性123。
* 该政策要求员工和承包商在雇佣关系、合同或协议终止时归还所有公司数据和资产：该要求可确保组织收回员工和承包商在雇佣、合同或协议期间分配、借出或访问的所有数 据和资产123 。这项要求有助于维护组织数据和资产的安全性、完整性和可用性，防止未经授权或不当使用或披露123。
* 该政策规定了设备和/或物理介质的库存、识别和处置要求：这一要求确保组织保持准确和最新的设备和/或物理介质清单。
* 记录其拥有、租赁或使用的所有设备和物理介质，并为其分配唯一的标识符123。这项要求还可确保组织遵循适当的程序，处置不再需要、不再有用或不再起作用的设备和物理介质123。这项要求有助于提高组织资产管理流程的效率、有效性和问责制，并降低组织资源被浪费、欺诈或滥用的风险123。
然而，选项 D，即要求访客（包括其他租户和维护人员）签到和签出设施，并在任何 时候都有人陪同的政策要求，通常不会在资产管理计划中界定。相反，这一要求更有可能在实体安全计划中进行定义，实体安全计划是一套政策、程序和做法，旨在保护组织的场所、资产和人员免遭未经授权的访问、损坏或伤害。实体安全计划通常会定义以下实体安全方面的政策要求：
* 该政策要求访客（包括其他租户和维修人员）签到和签退，并始终有人陪同：这一要求确保组织控制和监督访客进入设施，并核实他们的身份、目的和授权。
这项要求还确保组织防止访客进入限制或敏感区域、设备或信息，并在访客访问期间全程护送。这项要求有助于加强组织设施、资产和人员的安保、安全和合规性，并防止潜在的威胁、事件或违规行为。
* 该政策规定了设施及其出入口的上锁、报警和监控要求：这项要求确保组织确保设施周边和内部的安全，并检测和应对任何未经授权或可疑的活动或入侵。这项要求还确保组织采用适当有效的实体安全措施，如门锁、警报器、摄像头、警卫或障碍物，以阻止、防止或延缓未经授权的进入。这项要求有助于保护组织的设施、资产和人员免遭盗窃、破坏、损害或攻击 .
* 该政策规定了设施及其使用者的应急准备和响应要求：这一要求确保组织计划并实施各种程序，以应对可能影响设施及其使用人员的紧急情况，如火灾、洪水、地震、停电或枪击事件。该要求还可确保组织为应急准备和响应提供充足且易于获取的设备、资源和培训，如灭火器、急救包、疏散路线、紧急联系人或演习等。这一要求有助于确保组织设施、资产和人员的安全、健康和连续性，并最大限度地减少紧急情况的影响和损害 .
因此，选项 D 是正确答案，因为它是唯一一个没有反映资产管理计划中通常定义的政策要求的选项。参考资料：以下资源支持已验证的答案和解释：
* 1：资产管理政策指南 + 免费模板 | Fiix
* 2：资产管理政策：如何从零开始制定资产管理政策 - Limble CMMS
* 3：如何制定资产管理政策、战略和治理框架：在贵市建立统一的资产管理方法
* :物理安全政策 - SANS
* :实体安全政策 - IT 治理

外包商的供应商风险评估流程应包括选项 A、B 和 C 中提到的所有步骤，因为这些步骤对于确保一致、全面、有效地评估供应商的绩效、合规性和风险状况至关重要。然而，选项 D 不是供应商风险评估流程的必要或建议部分，因为它不能反映供应商的实际风险水平，而只能反映外包商组织内的资源可用性。根据资源能力确定评估频率可能导致对外包商的工作量、预算和人员评估不足或过度。这可能导致遗漏关键问题、浪费时间和金钱，或在供应商监督计划中造成漏洞。因此，选项 D 是正确答案，因为它是唯一一个不属于供应商风险评估流程的选项。参考资料：以下资源支持已验证的答案和解释：
* 共享评估的 CTPRP 工作指南第 10 页第 2.1.1 节指出，"评估的频率应基于第三方的风险等级，而不是资源的可用性"。
* 供应商风险评估指南》的 "第 3 步：确定供应商风险评估的频率 "一节解释说，"供应商风险评估的频率应基于每个供应商对贵组织构成的风险程度，而不是资源的可用性或便利性"。
* 《如何分 9 个步骤成功进行供应商风险评估》中的 "步骤 8：确定供应商风险评估的频率 "一节建议："供应商风险评估的频率应基于每个供应商对贵组织造成的风险程度，而不是基于资源的可用性或便利性"。

基础设施即服务（IaaS）是一种云部署模式，为用户提供对虚拟化硬件资源（如服务器、存储和网络设备）的访问。用户可以在云基础设施上安装和运行自己的操作系统和应用程序，并完全控制硬件设备的配置和管理。IaaS 适合需要高扩展性、灵活性和定制化云环境的企业。IaaS 不同于其他云部署模式，如功能即服务（FaaS）、平台即服务（PaaS）和软件即服务（SaaS），后者为用户提供更高级别的服务，并抽象出底层硬件细节。参考文献
* 云基础设施：4 个关键组件和部署模式
* 云部署模式 - GeeksforGeeks
* 企业内部云部署模式：组织自有硬件详解

TPRM 计划指标是衡量 TPRM 计划的绩效、有效性和成熟度的指标。它们有助于监控并向各利益相关方（如业务部门、执行管理层、风险委员会和董事会）传达 TPRM 计划的进展、成就和挑战。然而，TPRM 计划指标的报告水平和变化频率因利益相关者的角色、责任和兴趣而异123：
* 业务单位：这一级别的报告侧重于 TPRM 计划的运行方面，如供应商评估、补救措施、问题和事 故的状态。该级别的 TPRM 计划指标变化频繁且细化，因为它们反映了 TPRM 计划的日常活动和成果。
* 执行管理层：这一级别的报告侧重于 TPRM 计划的战略方面，如与业务目标的一致性、对监管要求的遵 守、关键风险的管理以及资源和成本的优化。在这一层面，TPRM 计划指标的变化频率较低，而且更加综合，因为它们反映了 TPRM 计划的总体方向和绩效。
* 风险委员会：这一层级的报告主要集中在 TPRM 计划的监督方面，如评估风险偏好、审查风险状况、批准风险政策和上报风险问题。在这一层面，TPRM 计划指标的变化是偶尔发生的，更具分析性，因为它们反映了 TPRM 计划的治理和保证。
* 董事会：这一级别的报告侧重于 TPRM 计划的咨询方面，如对风险战略的认可、对风险趋势的认识、对风险文化的指导以及对风险举措的支持。这一级别的 TPRM 计划指标变化是罕见和特殊的，因为它们反映了 TPRM 计划的高层次和长期愿景及价值。
因此，正确答案是 D. 董事会，因为在这一级报告中，TPRM 计划指标的变化是罕见和特殊的。参考资料：
* 1：衡量 TPRM 计划成功与否的 15 个关键绩效指标和衡量标准 | UpGuard
* 2：第三方风险管理指标：增强您的... | Diligent
* 3：TPRM 指标--讲述你的风险故事--共享评估 | 共享评估

补偿是一种合同义务，一方同意补偿另一方因特定事件或情况可能造成的任何损失或损害。相互赔偿是指双方同意赔偿对方的某些损失或损害，例如因违约、疏忽或违法造成的损失或损害。相互赔偿可以使各方分担信息安全风险，因为它可以提供一种机制，分配可能影响任何一方或其客户的任何安全事件或违规行为的责任和义务。相互赔偿还可以激励各方保持足够的安全控制和实践，并在发生安全事故或违规时进行有效的合作和沟通。
其他选项不是使各方能够分担信息安全风险的合同条款，因为：
* A. 责任限制是一种合同条款，它限制了一方在违约或其他法律诉讼情况下可向另一方索赔的金额或损害类型。责任限制并不能使各方分担信息安全风险，因为它可以减少或限制一方的责任，但不一定能在双方之间分配或平衡风险。
* B. 网络保险是一种承保网络攻击、数据泄露或其他网络事件造成的费用和损失的保险。网络保险不能使各方
* 分担信息安全风险，因为它可以将风险转移或减轻给第三方保险公司，但不一定在双方之间分配或分担风险。
* C. 不可抗力是一项合同条款，规定在发生不可预见或不可避免的事件或情况时，如自然灾害、战争或大流行病等，一方或双方可以不履行合同义务。不可抗力并不能使每一方分担信息安全风险的大小，因为它可以在发生不可抗力事件时中止或终止合同，但不一定能在双方之间分配或平衡风险。
参考资料
* 共享评估 CTPRP 研究指南，第 62 页，第 5.2.2 节：合同条款
* 第三方风险管理：供应商合同条款和条件，第......节：赔偿
* 第三方供应商的网络安全风险：普华永道，部分：合同条款和条件
* [第三方风险管理：第三方生态系统：如何在管理风险的同时保持收益]，章节：合同条款和条件

上述情况表明供应商的资产管理计划存在缺陷。有效的资产管理计划包括维护准确的硬件和设备库存，监控其状态，及时发现和应对任何损失或差异。笔记本电脑和处理公司数据长达两年之久的平板电脑的丢失却未被发现，这表明在跟踪和管理实物资产方面存在缺陷。这种疏忽可能导致与数据安全、合规性和运营完整性相关的风险。健全的资产管理计划应确保所有资产都有明确的下落，其使用情况受到监控，任何异常或丢失都能迅速发现并处理。
参考资料
* 信息技术资产管理标准，如 ISO/IEC 27001（信息安全管理），强调了维护资产清单和实施适当控制措施的重要性。
* 组织资产。
* 国际信息技术资产管理者协会（IAITAM）编写的《信息技术资产管理手册》提供了建立全面资产管理计划的指南，包括资产跟踪、监控和防损的最佳实践。

第三方风险管理（TPRM）是指识别、评估和降低与将业务活动或职能外包给外部实体相关的风险的过程。第三方风险管理受到各种法规的影响，这些法规旨在保护客户、利益相关者和监管机构的利益，使其免受第三方失职或不当行为造成的潜在伤害。这些法规可能因行业、司法管辖区和第三方关系的性质而异。因此，企业在进行年度风险评估时，必须更新影响其 TPRM 计划的法规清单，并优先考虑与其业务目标和风险偏好最相关和最关键的法规。
确定法规优先级的最佳方法是，确定需要将特定义务扩展到服务提供商的适用法规。这意味着，组织应重点关注对组织及其第三方合作伙伴提出某些要求或期望的法规，如数据保护、安全、合规、报告、审计或绩效标准。这些法规还可能规定组织和服务提供商的角色和责任、尽职调查和监控活动的范围和频率、合同条款和条件以及补救和终止程序。通过识别这些法规，组织可以确保其 TPRM 计划与法规期望和义务保持一致，并能有效管理和降低与第三方关系相关的风险。
要求将特定义务延伸至服务提供商的一些法规实例包括
* 通用数据保护条例》（GDPR）：这是一项欧盟法规，对欧盟境内个人数据的收集、处理和传输进行管理。GDPR 要求组织实施适当的技术和组织措施来保护个人数据，并且只与能够提供充分数据保护保证的服务提供商合作。
GDPR 还要求组织与其服务提供商签订书面合同，明确规定数据处理的主题、期限、性质和目的，以及双方的权利和义务。GDPR 还规定了严格的通知和报告要求，以防数据泄露或违规。
* 健康保险可携性与责任法案》（HIPAA）：这是一部管理个人健康信息隐私和安全的美国联邦法律。HIPAA 要求承保实体（如医疗服务提供者、医疗计划和医疗信息交换中心）保护其患者的健康信息，并且只能向授权方披露或共享这些信息。HIPAA 还要求承保实体与代表其处理或访问健康信息的服务提供商签订业务合作协议。这些协议必须明确规定允许和要求的健康信息使用和披露、保护健康信息的保障和措施，以及出现违规或事故时的报告和通知义务。
* 萨班斯-奥克斯利法案》（SOX）：这是一部美国联邦法律，旨在提高公司财务报告和信息披露的准确性和可靠性。SOX 法案要求上市公司建立并保持对其财务报告流程的内部控制，并对这些控制的有效性进行评估和报告。SOX 法案还要求上市公司确保其外部审计师是独立和合格的，并披露其内部控制中的任何重大弱点或缺陷。SOX 法案还适用于执行或支持上市公司财务报告职能的服务提供商，如会计师事务所、信息技术供应商或顾问。SOX 法案要求上市公司评估和监督服务提供商的内部控制，并将其纳入审计和报告范围。
参考资料
* 第三方风险管理与缓解 | Gartner
* 启动第三方风险管理计划的最佳做法
* 第三方风险管理最佳做法及其重要性
* GDPR 和第三方风险管理
* 业务合作方和第三方服务提供商的 HIPAA 合规性
* 第三方服务提供商的 SOX 合规要求

在评估供应商的补丁程序管理控制措施时，通常不包括批准使用开放源码应用程序的文件化流程，因为它与补丁程序没有直接关系。补丁管理控制是指使组织能够识别、获取、安装和验证软件漏洞补丁的策略、程序和工具。补丁管理控制旨在降低利用已知软件缺陷的风险，并确保已打补丁系统的功能性和兼容性。使用开放源码应用程序获得批准的文件化流程与软件开发和采购流程更为相关，因为它涉及评估在供应商的产品或服务中使用开放源码软件组件在法律、安全和操作方面的影响。开放源码软件的许可条款、质量标准和支持水平可能与专有软件不同，并可能引入需要管理的额外漏洞或依赖性。因此，对供应商来说，使用开放源码应用程序获得批准的文件化流程是一种良好做法，但它本身并不是一种补丁管理控制。参考资料：
* 企业补丁管理规划指南
* 系统补丁管理关键环节的治理
* 第三方风险认证专业人员 (CTPRP) 学习指南

云托管供应商评估计划是对托管企业数据或应用程序的云服务供应商 (CSP) 的安全性、合规性和性能进行评估的过程。云托管供应商评估计划通常包括以下内容123：
* 审查实体的映像快照审批和管理流程：该部分涉及验证 CSP 如何创建、批准、存储和删除运行组织工作负载的虚拟机或容器的映像快照。映像快照可能包含敏感数据或配置设置，需要防止未经授权的访问或修改。
* 要求提供安全服务文档和审计证明报告：这部分包括要求和审查 CSP 的文档和报告，以证明 CSP 为保护组织的数据和应用程序而实施的安全控制和实践。其中可能包括服务级别协议 (SLA)、安全政策和程序、安全认证和标准、漏洞扫描和修补报告、事故响应和灾难恢复计划，以及 SOC 2 或 ISO 27001 等独立审计报告。
* 要求提供合规性证据，明确打补丁的责任：此部分涉及询问和验证 CSP 如何处理云基础设施上运行的操作系统、应用程序和库的补丁。打补丁是防止安全漏洞和确保符合法规要求的关键活动。组织需要了解 CSP 和组织在为云环境打补丁方面的角色和责任，以及打补丁活动的频率和范围。
通常不属于云主机供应商评估计划的部分是进行客户执行的渗透测试。渗透测试是一种模拟对系统或网络进行网络攻击的方法，用于识别和利用漏洞和薄弱环节。虽然渗透测试是评估 CSP 安全状况的重要工具，但通常不包括在云托管供应商评估计划中，原因如下：
* 渗透测试可能会违反 CSP 的服务条款或可接受使用政策，这可能会禁止或限制客户在云基础架构上进行任何未经授权或破坏性的活动。如果客户在未经 CSP 同意或不知情的情况下进行渗透测试，可能会面临法律或合同后果。
* 渗透测试可能会干扰 CSP 的正常运营，或影响其他客户云服务的可用性和性能。客户可能会对 CSP 的系统或网络造成意想不到的破坏或中断，或触发错误警报或提示，从而转移 CSP 的资源或注意力。
* 渗透测试可能无法对 CSP 的安全性进行全面或准确的评估，因为客户对 CSP 内部系统或网络的可见性或访问权限可能有限，或可能遇到阻止或限制渗透测试活动的安全机制或反措施。如果客户访问或破坏其他客户或 CSP 的数据或系统，还可能面临道德或法律问题。
因此，问题的验证答案是 D。
参考资料
* 评估云计算供应商的四个重要最佳实践
* 2024 年 IT 供应商评估的 11 大调查问卷
* 以正确的方式进行云计算供应商评估
* [云中的渗透测试：你需要知道的]
* [云渗透测试：挑战与最佳实践]

尽职调查是对潜在或现有第三方供应商的相关风险和机会进行评估的过程。尽职调查的范围和深度因供应商给组织带来的风险程度而异。低风险供应商是指那些对组织的运营、声誉或合规性影响极小，且不处理敏感或机密数据或系统的供应商。对于风险较低的供应商，开展尽职调查时可能需要接受服务提供商的自我评估问卷答复，作为其能力、绩效和合规性的充分证据。自我评估问卷是一种工具，允许供应商提供有关其组织、服务、流程、控制和政策的信息。组织可利用问卷核实供应商的身份、资质、推荐信和认证，并评估供应商是否符合组织的标准和期望。接受供应商的自我评估问卷答复作为尽职调查的主要来源，可以为组织节省时间和资源，还可以表明对供应商的信任和信心。不过，组织还应确保问卷的全面性、相关性和更新性，以及供应商答复的准确性、完整性和一致性。
组织还应保留在必要时要求供应商提供补充信息或文件的权利，以及对供应商的表现和合规情况进行定期审查或审计的权利。
其他选项并不是对低风险供应商进行尽职调查的最佳描述，因为它们要么涉及更广泛 或更严格的尽职调查方法，要么与尽职调查没有直接关系。
编写有关第三方风险管理和补救活动状况的报告提交管理层，是监督和管理供应商关系的重要组成部分，但其本身并不是尽职调查活动。审查服务供应商的自我评估问卷和外部审计报告是一种更彻底的尽职调查方式，但对于低风险供应商来说，这可能没有必要或不可行，特别是在外部审计报告不容易获得或不相关的情况下。要求提供服务供应商的外部审计报告并将其存档以备将来参考，是保存尽职调查文件和证据的良好做法，但其本身并不是尽职调查活动。
参考资料
* 第三方风险管理（TPRM） | 共享评估
* 供应商尽职调查战略指南和核对表｜普遍存在的问题
* 供应商尽职调查：实用指南和清单

绩效风险被定义为第三方由于系统或程序不完善而无法履行其义务的风险，它准确地描述了这种情况。这类风险涉及对第三方按照要求的绩效水平提供服务或产品的能力的担忧，这可能是由于第三方的技术基础设施、操作程序或管理实践存在局限性。在第三方风险管理（TPRM）中，识别和管理性能风险至关重要，以确保第三方供应商能够可靠地履行合同和服务水平协议，从而最大限度地减少对组织运营和服务交付的影响。
参考资料
* 货币监理署（OCC）和联邦金融机构审查委员会（FFIEC）等机构制定的 TPRM 准则强调了评估和监督 TPRM 的重要性。
* 管理与第三方关系相关的绩效风险。
* 信息系统审计与控制协会的 "第三方风险管理指南 "讨论了与聘用第三方服务提供商有关的各类风险，包括绩效风险，强调需要进行彻底的尽职调查和持续监测。

根据 Shared Assessments Certified Third Party Risk Professional (CTPRP) Study Guide，第三方风险评估员的职责是根据 ISO、NIST、COBIT 或 COSO1 等行业框架，评估第三方控制措施的设计和运行效果。评估员的职责不是对控制措施的有效性发表意见，而是以事实和客观的方式报告评估结果2。评估员的职责还包括：与主题专家进行探讨，以了解控制环境；通过测试或验证控制措施，对风险评估问卷的答复进行探讨和验证；审查合规工件，并根据对控制属性存在情况的评估，确定潜在的控制差距1。这些都是使用行业框架进行控制评估时评估人员所扮演角色的真实表述。
参考资料
* 1：共享评估 注册第三方风险专业人员 (CTPRP) 学习指南，第 29 页
* 2：什么是第三方风险评估？- 风险光学

事件响应中的通知义务是将影响相关方数据或系统的安全漏洞或事件通知相关方的法律或合同义务。根据事件的类型、范围和影响，以及所涉及的司法管辖区、行业和合同协议，这些义务可能会有所不同。最有可能触发通知义务的因素包括
* 法规要求：不同的法律法规可能会对发生或造成安全事故的组织规定不同的通知义务。例如，《通用数据保护条例》（GDPR）要求数据控制者在意识到个人数据泄露后 72 小时内通知监管机构，如果泄露对受影响数据主体的权利和自由构成高风险，则应立即通知受影响数据主体，不得无故拖延1。同样，《计算机安全事件通知规则》要求银行及其服务提供商在发生严重扰乱、降低或损害其运营、服务或客户的计算机安全事件后，尽快但不迟于 36 小时内通知其主要联邦监管机构2。
* 数据分类或敏感性：安全事件所涉及数据的类型和敏感性也会影响通知义务。例如，如果数据包含个人身份信息 (PII)、健康信息、财务信息或其他机密或敏感信息，组织可能必须通知数据所有者、监管机构、执法部门或其他利益相关者有关事件及其隐私或安全的潜在风险3。数据分类或敏感性还可能决定通知的内容和时间，以及使用的适当沟通渠道。
* 合同条款：组织与其第三方供应商或服务提供商之间的合同协议也可规定发生安全事故时的通知义务。例如，合同可定义各方的角色和责任、通知程序和时限、共享的信息、采取的补救措施以及违反合同的处罚或责任。合同条款还可反映适用于组织或第三方的监管要求或行业标准。
最不可能触发通知义务的因素是
* 数据加密：数据加密是一种安全措施，可保护数据免遭未经授权的访问、修改或披露。数据加密可减少安全事故的影响或严重程度，因为它可以防止或限制数据暴露给恶意行为者。但是，数据加密并不能免除通知义务，因为组织仍需评估事件的性质和程度，并确定加密是否有效或受到破坏。此外，数据加密可能不足以保护数据免受其他类型的威胁，如删除、损坏或勒索软件。因此，数据加密不是影响事件响应中通知义务的因素。
参考资料
* 1: GDPR 第 33 条：向监管机构通报个人数据泄露情况
* 2：计算机安全事件通知规则
* 3：第三方事件管理（TPIM）：如何平衡 IRP 与第三方之间的关系
* :[改进第三方事件响应]
* :[第三方事件响应手册]
* :[加密能保护您免遭数据泄露吗？］

第四方风险是指与组织的直接第三方合作伙伴的分包商、供应商或服务提供商相关的潜在威胁和漏洞。这会形成一个复杂的依赖和风险网络，影响组织的安全、数据保护和业务恢复能力。为了有效管理这种风险，组织应该对其扩展的销售商和供应商网络进行全面的尽职调查，并在合同中规定任何分包活动都必须获得通知和批准。这样，组织就能确保分包商达到与直接第三方合作伙伴相同的标准和期望，并确保他们有足够的控制和保障措施来保护组织的数据和系统。此外，组织应定期监控和评估分包商的绩效和合规情况，并根据需要更新合同条款，以反映风险环境的任何变化。参考资料：
* 了解第 4 方和第 N 方风险：您需要知道什么？
* 第四方和第 N 方管理的最佳实践
* 第四方风险管理：最佳实践

在补丁管理中，测试是对系统和应用程序进行网络安全事件后分析的最关键因素。在部署前对补丁进行适当测试，可确保补丁有效解决漏洞问题，而不会引入可能影响系统功能或安全性的新问题或不兼容性。通过测试，企业可以验证补丁是否解决了已识别的安全问题，而不会对系统或应用程序的性能产生不利影响。测试还有助于识别与现有配置或依赖关系的潜在冲突。有效的测试策略包括回归测试、性能测试和安全测试，以确保在广泛部署前全面验证补丁的有效性和安全性。这种方法符合补丁管理的最佳实践，强调全面测试的重要性，以降低意外后果的风险，确保系统和应用程序的持续安全性和稳定性。
参考资料
* ISO/IEC 27001（信息安全管理）等行业标准强调了系统管理补丁的重要性，包括测试在评估补丁有效性和影响方面的作用。
* 互联网安全中心（CIS）的 "补丁管理最佳实践 "等资源为制定和实施补丁管理计划提供了指导，该计划包括严格的测试程序，以确保安全有效地应用补丁。