外部或内部评估
用户可自由选择内部和/或外部资源进行评估
用户选择外部评估需要与外部组织接触
用户选择外部评估器必须确保:
- 选择评估器现有网络安全评估经验行业标准,如PCIDSS
- 最起码主评估器持有至少一种行业相关专业认证,例如CISA系统个人评审器也应有相关安全行业认证
- 内部部门使用社区标准评估时,建议用户采取步骤确保参与评估者以客观方式履行职责,不受不当影响(包括但不限于评估者和控制者之间的独立报告线)。
非指令性CSP评估提供者目录可用帮助查找外部评估器
用户选择内部评估必须确保:
- 评估小组独立于第一防线:合格团队通常是内部审计3防线、风险办公室2防线或为评估而定制独立团队
- 选择评估器现有网络安全评估经验行业标准,如PCIDSS
- 最起码主评估器持有至少一种行业相关专业认证,例如CISA系统个人评审器也应有相关安全行业认证
也可选择任命由内部/外部专业人员组成并由一名内部或外部工作人员牵头的混合团队为评估员或评估员此类搭建可实现交叉专业知识生成并控制费用供后续评估使用
所有选项即内部评估员或混合团队对Swift同样有效
详细需求见IAF系统.
去年我已进行了独立评估,今年KYC-SA证明中可以引用吗?
重新测试时,仍可参考前一次评估重用必须服从下列条件:
- 评估者同意仍然引用他们早些时候完成的评估
- 用户内Swift脚印评估未经历重大修改,使前一次评估的结论无效
- 新建CSCF不包括新强制控件或前一次评估未覆盖控件修改
- 在任何情况下,独立评估最长有效2年(即2年)。日期发布报告+2年e.g.2020年6月30日发布的报告可复用至2022年6月30日
登录CSP应用程序和门户
查找KYC-SA应用程序专用登录链路、支持站页和ISAC门户