第三方风险管理(Third Party Risk Management, TPRM)是剖析和最小化与外包给第三方供应商或服务提供商的相干危险的过程。比方包含财务、环境、名誉和平安危险。而存在这些危险的起因是供应商领有权限拜访企业的知识产权、敏感数据和个人身份信息 (PII) 等。因为第三方关系对业务经营至关重要,因而第三方风险管理是网络安全策略的重要组成部分。
什么是第三方?
第三方是与企业单干的任何实体。包含供应商、制造商、服务提供商、业务合作伙伴、从属公司、分销商、经销商和代理商。这些第三方企业能够是上游(供应商和供应商)和上游(分销商和经销商)。
第三方和第四方有什么区别?
第三方是间接与企业开展业务的供应商、合作伙伴或其余实体,而第四方是企业的第三方所单干的供应商或服务提供商等。第四方(或“第 N 方”)反映了供应链中更深层次的关系,这些关系不肯定与企业通过合同分割,而是通过第三方连贯。
为什么第三方风险管理很重要?
第三方风险管理非常要害,因为应用第三方会间接或间接影响企业的网络安全。第三方减少了信息安全的复杂性,起因如下:
第三方通常不受企业的管制,无奈齐全理解他们的安全控制状况。一些供应商领有弱小的平安规范和良好的风险管理实际,但还有一些供应商的安全策略并不周密和欠缺。
每个第三方都是数据泄露或网络攻击的潜在攻打媒介。如果供应商具备易受攻击的攻击面,企业应用的此类供应商越多,攻击面就越大,可能面临的潜在破绽就越多。
数据保护和数据泄露提醒(Data breach notification)等相干法律的引入极大地提高了第三方风险管理打算的影响。如果因为第三方导致信息泄露,企业同样也要面临处罚和监管罚款。
第三方会带来哪些危险?
企业在与第三方单干时面临许多潜在危险:
- 网络安全危险:网络攻击、安全漏洞或其余安全事件导致的信息泄露或经济损失。因而企业须要通过在引入供应商之前的渎职调查过程,以及在整个供应商生命周期中的继续监控来升高危险。
- 经营危险:第三方可能造成业务经营中断的危险。这须要通过受合同束缚的服务级别协定 (Service Level Agreements, SLAs) 以及业务连续性和事件响应打算来治理。依据供应商的重要性,企业能够多抉择几家供应商以备用(这种做法在金融服务行业常见)。
- 法律、监管和合规危险:第三方可能产生法律、法规或协定的危险。这对于金融服务、医疗保健和政府组织及其业务合作伙伴尤为重要。
- 名誉危险:因第三方而产生负面舆论的危险。因为第三方所提供的服务所产生的不良评估会给企业形象和名誉带来负面影响。
- 策略危险:企业可能因第三方供应商而无奈实现其业务指标。
第三方风险管理怎么开展?
为了更好地治理第三方危险,企业须要构建一个无效的第三方风险管理框架,同时建设一个弱小的第三方风险管理流程,为企业的风险管理提供保障和牢靠反馈。
第 1 步:剖析
在引入任何第三方之前,首先要确定其可能给企业带来的潜在危险以及所需的渎职考察。目前少数企业抉择应用平安评级(security ratings)来确认第三方的内部平安情况是否满足企业要求。
第 2 步:进一步理解
如果供应商的平安评级足够,下一步就是让供应商提供(或实现)平安考察问卷,以深刻理解他们的安全控制措施,当然这些信息对外部人员是不可见的。
第 3 步:修复
如果供应商存在平安危险,可能会导致这些供应商在解决相干平安问题之前就失去单干机会。这时如果企业领有修复工具,能够先尝试修复相干问题再进行下一步评估。
第 4 步:批准
在修复问题之后,企业能够依据本身危险承受能力、供应商的重要性以及相关联的合规要求,来决定是否与供应商单干或是抉择寻找其余供应商。
第 5 步:监控
继续监控供应商的安全性非常重要!因为引入的第三方领有拜访企业外部零碎、敏感数据和业务流程的权限。这时,企业须要对第三方进行继续安全监控(Continuous Security Monitoring, CSM)。CSM 能够主动进行监控信息安全管制、破绽和其余网络威逼,以反对企业危险管理决策。