名称: 供应商安全问卷 描述: 通过问卷生成、响应解析和风险评分实现供应商安全评估自动化 允许工具:
- Bash
- 读取
- 写入
- 全局搜索
- 文本搜索
- 网络获取
供应商安全问卷技能
目的
通过标准化问卷生成、响应解析、安全态势评分和风险报告生成,为第三方风险管理项目自动化供应商安全评估。
能力
问卷生成
- 生成行业标准安全问卷
- 创建SIG(标准化信息收集)问卷
- 构建CAIQ(共识评估倡议问卷)表单
- 基于风险等级生成自定义问卷
- 创建特定供应商类型的评估
- 支持多种响应格式
响应解析与分析
- 解析各种格式的问卷响应
- 提取关键安全控制信息
- 识别缺失或不完整的响应
- 标记需要审查的答案
- 将响应与要求进行比较
- 验证证据附件
安全态势评分
- 计算供应商安全分数
- 根据控制重要性加权分数
- 与行业基准进行比较
- 跟踪分数随时间的变化趋势
- 生成风险调整评级
- 识别分数改进领域
评估状态跟踪
- 跟踪评估工作流状态
- 监控响应截止日期
- 发送自动提醒
- 升级逾期评估
- 维护评估历史记录
- 归档已完成的评估
风险报告生成
- 生成执行风险摘要
- 创建详细的技术报告
- 生成比较报告
- 构建风险热图
- 生成董事会级仪表板
- 导出数据到GRC系统
供应商合规监控
- 跟踪供应商合规承诺
- 监控整改进展
- 验证合规证据
- 合规偏差警报
- 安排定期重新评估
- 维护合规文档
问卷标准
| 标准 | 使用场景 | 问题数量 |
|---|---|---|
| SIG Lite | 低风险供应商 | ~100 |
| SIG Core | 中风险供应商 | ~300 |
| SIG Full | 高风险供应商 | ~800+ |
| CAIQ | 云服务提供商 | ~300 |
| VSAQ | 通用供应商 | 可变 |
| 自定义 | 特定需求 | 可变 |
评估领域
- 信息安全管理
- 访问控制
- 数据保护
- 网络安全
- 应用安全
- 物理安全
- 业务连续性
- 事件响应
- 合规与法律
- 第三方管理
集成
- OneTrust: 第三方风险管理
- ProcessUnity: 供应商风险管理
- SecurityScorecard: 安全评级
- BitSight: 安全评级和基准
- Prevalent: 第三方风险情报
- Shared Assessments: SIG问卷工具
目标流程
- 第三方供应商安全评估
- 供应商入职安全审查
- 年度供应商重新评估
- 供应商风险管理
输入模式
{
"type": "object",
"properties": {
"operation": {
"type": "string",
"enum": ["generate", "parse", "score", "report", "track"],
"description": "问卷操作类型"
},
"vendorInfo": {
"type": "object",
"properties": {
"vendorName": { "type": "string" },
"vendorId": { "type": "string" },
"vendorType": { "type": "string" },
"riskTier": { "type": "string", "enum": ["critical", "high", "medium", "low"] },
"dataAccess": { "type": "array", "items": { "type": "string" } }
}
},
"questionnaireType": {
"type": "string",
"enum": ["SIG-Lite", "SIG-Core", "SIG-Full", "CAIQ", "VSAQ", "custom"],
"description": "使用的问卷标准"
},
"customDomains": {
"type": "array",
"items": { "type": "string" },
"description": "要评估的特定领域"
},
"responseFile": {
"type": "string",
"description": "问卷响应文件路径"
},
"scoringCriteria": {
"type": "object",
"properties": {
"minimumScore": { "type": "number" },
"criticalControls": { "type": "array" },
"weightings": { "type": "object" }
}
},
"deadline": {
"type": "string",
"format": "date",
"description": "评估完成截止日期"
}
},
"required": ["operation"]
}
输出模式
{
"type": "object",
"properties": {
"assessmentId": {
"type": "string"
},
"operation": {
"type": "string"
},
"timestamp": {
"type": "string",
"format": "date-time"
},
"vendorInfo": {
"type": "object"
},
"questionnaire": {
"type": "object",
"properties": {
"type": { "type": "string" },
"totalQuestions": { "type": "integer" },
"domains": { "type": "array" },
"filePath": { "type": "string" }
}
},
"responseAnalysis": {
"type": "object",
"properties": {
"questionsAnswered": { "type": "integer" },
"questionsSkipped": { "type": "integer" },
"evidenceProvided": { "type": "integer" },
"concerningResponses": { "type": "array" },
"missingInformation": { "type": "array" }
}
},
"securityScore": {
"type": "object",
"properties": {
"overallScore": { "type": "number" },
"riskRating": { "type": "string", "enum": ["low", "medium", "high", "critical"] },
"domainScores": {
"type": "array",
"items": {
"type": "object",
"properties": {
"domain": { "type": "string" },
"score": { "type": "number" },
"findings": { "type": "array" }
}
}
},
"benchmarkComparison": { "type": "object" },
"scoreHistory": { "type": "array" }
}
},
"riskFindings": {
"type": "array",
"items": {
"type": "object",
"properties": {
"findingId": { "type": "string" },
"domain": { "type": "string" },
"severity": { "type": "string" },
"description": { "type": "string" },
"recommendation": { "type": "string" }
}
}
},
"assessmentStatus": {
"type": "object",
"properties": {
"status": { "type": "string" },
"deadline": { "type": "string" },
"daysRemaining": { "type": "integer" },
"remindersent": { "type": "boolean" }
}
},
"recommendations": {
"type": "array",
"items": { "type": "string" }
},
"reportPath": {
"type": "string"
}
}
}
使用示例
技能: {
名称: '供应商安全问卷',
上下文: {
操作: 'generate',
供应商信息: {
供应商名称: '云SaaS提供商',
风险等级: 'high',
数据访问: ['PII', 'financial']
},
问卷类型: 'SIG-Core',
截止日期: '2024-03-15'
}
}