出版日期:2024 年 5 月 29 日
撰稿人:Matthew Finio、Amanda Downie
第三方风险管理 (TPRM) 可以识别、评估和缓解与将任务外包给第三方供应商或服务提供商相关的风险。
在日益互联和外包的世界中,第三方风险管理 (TPRM) 是一项重要的业务策略。TPRM 可识别并缓解组织因与外部供应商或服务提供商合作而面临的风险。这些第三方可能涉及各种业务职能,包括从 IT 服务和软件开发到供应链管理和客户支持。
对 TPRM 的需求源于与第三方关系相关的固有漏洞。外包任务可以带来成本节约、可扩展性和专业知识获取等益处,但同时也会令组织面临潜在的问题。TPRM 旨在帮助组织全面了解其第三方业务关系,以及这些供应商采用的保障措施。这有助于防止出现运营中断、安全漏洞以及合规失败等问题。
TPRM 与供应商风险管理 (VRM) 或供应链风险管理等术语同义,构成一种应对各种第三方参与所引起风险的综合方法。它涉及尽职调查、第三方风险评估、补救和持续监控等普遍原则,以确保第三方遵守法规、保护敏感数据、保持运营弹性并满足环境、社会和治理 (ESG) 标准。
数字风险是 TPRM 的子集,包括财务、声誉、环境和安全问题。供应商对知识产权、机密数据和个人身份信息 (PII) 的访问凸显了 TPRM 在网络安全框架和网络风险管理策略中的重要性。
没有一个部门能完全掌控第三方风险管理 (TPRM),这因情况而异。公司可能已设有专门的 TPRM 团队,或将这些职责分配给不同的岗位。TPRM 涉及的常见部门和职位包括首席信息安全官 (CISO)、首席采购官 (CPO)、首席信息官 (CIO)、首席隐私官 (CPO)、信息技术 (IT)、供应链经理等。
有效的 TPRM 可保护组织免于外包风险,并建立更稳固、更具弹性的合作伙伴关系。将 TPRM 嵌入到其核心运营中,使公司能够利用外部专业知识,同时保持安全性、合规性和运营完整性。这将漏洞转化为可管理的风险,从而实现安全合规的增长。
由于存在与外部供应商和服务提供商相关的重大风险,第三方风险管理 (TPRM) 至关重要。第三方关系通常涉及访问客户数据和内部系统等特权信息,这使其成为网络攻击的潜在切入点。风险还会延伸到第四方,即第三方聘用的分包商或其他服务提供商。
如果组织只关注内部网络安全措施,而不将这些保护措施扩展到第三方和第四方,就很容易受到数据外泄和其他安全事件的影响。
TPRM 至关重要的原因有以下几点:
实现监管合规:GDPR 和 CCPA 等数据隐私和数据保护法规要求组织监管第三方合规情况。第三方的违规行为可能会给主要组织造成巨额罚款和声誉损害,即使该组织不直接为违规行为负责。
提高运营弹性:第三方干扰会导致延误、缺陷和运营挑战。有效的 TPRM 可通过识别和缓解这些漏洞来确保业务连续性。这对于依赖供应链的行业尤其重要,因为 TPRM 有助于维持平稳运营,并维护质量标准。
管理供应商关系:第三方关系的安全标准各不相同。TPRM 涉及彻底的尽职调查、风险评估和持续监控,以确保供应商遵守高安全和道德标准。
缓解网络安全风险:第三方通常可以访问敏感数据和内部系统,这令其成为网络攻击的潜在切入点。强大的 TPRM 将网络安全措施扩展到这些外部实体,并纳入数据安全,以防止违规和数据泄漏。
维护声誉:第三方的行为可以直接影响组织的声誉。通过管理第三方风险,公司可以防止可能损害其品牌和客户信任的不道德行为和不当行为。
保护业务影响:如果没有适当的 TPRM,第三方关系可能会令企业面临风险,从而对其底线造成长期影响。TPRM 可帮助组织避免与第三方故障相关的财务损失,例如管理数据泄露的成本、不合规的法律费用以及运营停机造成的损失。
降低复杂性和减少攻击面:每个第三方都会增加组织的攻击面。TPRM 通过管理众多第三方连接引入的潜在漏洞来降低复杂性。
通过有效管理第三方风险,企业可以保护其运营并在互连的外包环境中蓬勃发展。
组织通过整合现有供应商信息、与现有技术集成以及与内部业务负责人进行评估或面谈来识别第三方。此阶段包括建立第三方生态系统清单,并根据第三方供应商对组织构成的固有风险对其进行分类。
组织审核 RFP,并根据特定的业务需求和标准选择新的供应商。这涉及评估风险敞口,可能需要问卷调查和现场评估来验证其内部安全和信息安全措施措施的准确性和有效性。关键考量因素包括供应商的安全评级和状况、对行业标准的遵守情况以及与组织要求的整体契合度。
组织使用各种标准(例如,ISO 27001、NIST SP 800-53)对选定的供应商进行全面的风险评估,以了解潜在风险。有些使用第三方风险交流来访问预先完成的评估,而另一些则使用评估自动化软件或电子表格。
在评估风险之后,组织会采取风险缓解措施。这包括对风险进行标记和评分,确定风险级别对于组织的风险偏好范围是否可接受,并实施必要的控制措施以将风险降低到可接受的水平。持续监控用于识别可能改变风险状况的事件,例如数据泄露或法规变更。
这一阶段可能与风险缓解阶段重叠,涉及与供应商谈判并最终确定合同。重点方面包括确保合同包含关键条款,例如保密条款、保密协议、数据保护协议和服务级别协议 (SLA)。合同结构应解决主要的风险管理问题和合规要求。通过将供应商整合到组织的系统和流程中来引导供应商。
各组织保存所有第三方互动和风险管理活动的详细记录。实施 TPRM 软件可以促进全面和可审计的记录保存,从而改进报告和合规性。
对第三方供应商的持续监控至关重要,因为这可以持续洞察其安全状况和风险级别。需要监控的关键事件包括监管变化、财务可行性以及任何可能影响供应商风险状况的负面消息。
终止供应商关系时,组织必须确保所有数据和资产都得到安全返还或处置,并出于合规目的维护脱离流程的详细记录。脱离清单有助于确保采取所有必要步骤。
组织可以采用多种最佳实践来有效实现 TPRM。以下是一些重点策略:
定义组织目标
- 让 TPRM 与组织的整体风险管理策略保持一致
- 创建妥善的清单,区分第三方并确定必要的保护措施
- 建立涵盖多个领域(财务风险、运营风险、合规风险、战略风险、声誉风险等)的风险映射。
获得利益相关者的认可
- 让利益相关方尽早参与进来,以有效设计和实施 TPRM 计划
- 确保执行团队了解所有第三方风险并采取一致行动
- 确保所有相关方(风险与合规、采购、安全和商业团队)的合作
- 通过制定纳入所有相关部门意见的综合战略,避免孤立的方法
建立 TPRM 计划
- 制定具有治理结构的计划方法,以实现一致和可重复的风险管理流程。例如,定期的网络研讨会可以让有关各方了解最新情况。
- 根据组织的具体监管、数据保护和风险容忍度要求,定制第三方风险管理计划
维护准确的供应商库存清单
- 实施策略,不断更新所有第三方的清单
- 确保全面了解第三方情况,有效管理安全风险
排定供应商优先级别
- 根据风险和重要性将供应商清单划分为不同等级
- 将资源集中在高风险供应商上,以进行更严格的尽职调查和持续监控
评估合同签订过程中的安全性
- 在采购过程中对第三方供应商进行安全评估,而不仅仅是在谈判结束时进行
- 尽早将安全要求整合到合同中,以确保合规,并在协议最终确定之前降低风险
不止考虑网络安全
- 应对各种类型的风险,而不仅仅是网络安全
- 应考量声誉、地理、地缘政治、策略、财务、运营、隐私、合规、道德、业务连续性、绩效和环境风险
- 了解所有相关风险,以建立全面的 TPRM 计划
使用 TPRM 软件实现流程自动化
- 自动执行重复的 TPRM 流程,以提高效率。TPRM 软件可简化流程,如:
- 供应商纳入和风险评估
- 分配风险缓解任务并进行绩效考核
- 发送通知并生成报告
实施持续监控:
- 实现持续监控,实时评估第三方风险
- 使用自动化工具及时发现安全和合规问题
- 持续关注第三方风险状况,以便主动应对变化
通过此交互式导览深入了解 OpenPages UX,并跟随团队识别风险、审查最新监管要求、开始管理风险评估和管理工作流程。
了解 IBM OpenPages 解决方案如何帮助您做出具有风险意识的决策以实现合规性,并提高各业务线的绩效。
借助威胁情报增强您对企业安全的信心
了解洛杉矶如何与 IBM® Security 合作创建首个网络威胁共享小组。
了解 Centripetal 如何实施威胁情报,以实时应对网络威胁。
了解企业如何主动降低遭受一系列网络攻击的可能性。