全球化和日益增加的监管压力意味着更多组织需要检查他们的 第三方供应商,服务提供商和供应链,以评估风险水平,提供决策依据并遵守法律。
未能充分评估 第三方 and 第四方风险 使组织面临声誉风险,运营风险, 网络风险,政府调查,罚款和刑事责任,
无知不再是有效的辩护。
政府,董事会,高级管理层,股东,客户和监管机构对有效实施的期望更高 网络安全特别是 信息安全 controls designed to 防止数据泄露.
和 有效的第三方风险管理(TPRM) 是其中很大的一部分。
无论您是依靠信息技术提供商来管理Web入职的金融服务公司,还是在多个辖区开展业务的《财富》 500强公司,您都面临风险。
随着组织进入新市场并在新市场中开展业务,它们越来越依赖第三方,其中许多人在总部以外的地方使用不同的语言,而他们的语言可能相同也可能不同。 信息安全政策 到位。
为了降低这种风险,世界各地的监管机构都在制定新的法律, 供应商风险管理 监管要求。这可以包括分包和外包安排的管理(第四方风险)。
什么是第三方风险管理?
第三方风险管理是分析和控制与外包给第三方供应商或服务提供商有关的风险的过程。供应商管理的范围越来越多地扩展到分包和外包安排上,以减轻第四方风险。
这对于需要处理的高风险供应商尤其重要 敏感数据,知识产权或其他敏感信息 信息。
这意味着需要尽职调查来确定第三方对于其给定任务的总体适用性,并逐渐确定它们是否可以确保信息安全。
尽职调查是一个调查过程,通过该过程,第三方将进行审核以确定是否'合适。除了最初的尽职调查外,随着时间的推移引入新的安全风险,供应商还需要在其生命周期中进行连续审查。
任何第三方风险管理计划的目标都是降低以下风险:
- 网络安全风险: 风险造成的风险或损失 网络攻击, 数据泄露 或其他安全事件。通常可以通过在入职新供应商之前进行尽职调查并持续监控供应商生命周期来减轻这种风险。
- 操作风险: 第三方将导致业务运营中断的风险。通常,通过合同约束的服务水平协议(SLA)来管理此服务。根据供应商的重要性,您可以选择设置备用供应商以确保业务连续性。这是金融机构的常见做法。
- 法律,法规和合规风险: 第三方将影响您的组织的风险'遵守当地法律,法规或协议。这对于金融服务,医疗保健和政府组织及其业务伙伴而言尤其重要。
- 名誉风险: 第三方引起的负面舆论带来的风险。不满意的客户,不适当的互动和糟糕的建议只是冰山一角。最具破坏性的事件是由于安全控制不力而导致的第三方数据泄露,例如 目标's 2013 数据泄露.
- 财务风险: 第三方将对组织的财务成功产生不利影响的风险。例如,由于供应链管理不善,您的组织可能无法销售新产品。
- 战略风险: 您的组织由于第三方供应商而无法实现其业务目标的风险。
是什么使第三方风险管理计划成功完成?
管理第三方风险是'虽然是新的,但一般组织承担的风险级别是。
网络攻击 犯罪分子不断增加其频率,复杂性和影响力,从而不断完善其努力以破坏系统,网络和信息。
这种趋势的加速因素是每个组织越来越多地使用技术和第三方供应商,以改善客户体验并提高运营效率。
因此,组织正在寻求建立有效,可扩展并适合其风险状况和法规要求的第三方风险管理流程和程序。
许多组织才刚刚开始开发流程,以建立新的供应商,并使其现有的供应商经过强大的第三方风险评估流程。
有效的第三方风险管理流程通常包括以下内容:
- 所有第三方关系的清单
- 所有目录 网络安全风险 供应商可以使您的组织接触到
- 根据潜在风险对所有供应商进行评估和细分,并计划补救组织之外的风险's risk appetite
- 基于规则 第三方风险管理框架 和最小的可接受的障碍 安全态势 当前和将来的第三方,最好是实时的 安全等级
- 第三方管理计划和流程的既定所有者
- 三道防线,包括领导,供应商管理和内部审计
- 第一道防线–拥有和管理风险的职能
- 第二道防线–监督或专门从事风险管理和合规性的职能
- 第三道防线–提供独立保证的职能,首先是内部审计
- 针对以下情况建立既定的应急计划:第三方被视为高风险,不可用或第三方 数据泄露 occurs
并将提供以下好处:
- 让您以更少的时间和更少的资源应对未来的风险
- 为您的组织和供应商提供上下文
- 确保您的产品和服务的声誉和质量没有受到损害
- 降低成本
- 已改善 机密性,完整性和可用性 您的服务
- 让您专注于核心业务功能
- 提高运营和财务效率
就是说,即使是最佳的风险管理实践也只有遵循这些实践的人才能做到。大多数第三方违规是由于无法执行现有规则和协议而引起的。您需要与供应商保持透明,了解您对他们的期望。
理想情况下,安全状态将是合同要求。
第三方风险管理程序有哪些常见问题?
第三方风险管理程序存在许多常见问题,包括:
- 弹性: 没有评估业务连续性或事件响应计划
- 偿付能力监控: 不评估第三方偿付能力或财务可行性
- 安全控制: 团队对他们的供应商没有足够的了解' security controls
- 合规性: 无法衡量第三方是否符合您的法规要求
- AML-CTF和KYC: 没有合同义务对客户,供应商或承包商执行AML-CTF或KYC检查
- 企业社会责任: 没有确保第三方保护您的组织的流程'品牌和企业社会责任的努力
- 健康和安全: 供应商没有适当的健康和安全控制措施,可能会对您的组织造成声誉损失
如何使用安全评级来衡量第三方风险
安全等级或网络安全等级是一种越来越流行的实时测量第三方安全状况的方法。
它们使第三方风险管理团队可以立即,客观地评估其外部安全状况,从而在几分钟(而不是几周)内对业务合作伙伴,服务提供商和第三方供应商进行尽职调查。
安全等级类似于信用等级,因为它们旨在衡量与组织相关的网络安全风险。
与信用评级机构一样,安全评级提供者是独立的,这意味着它们是客观的,并使用相同的标准来评估每个公司。也就是说,每个安全等级提供程序将使用不同的数据来生成其等级。
UpGuard 是最受欢迎的安全评级平台之一。我们的评级是由专有算法生成的,该算法吸收并分析可信赖的商业和开源威胁源,以及非侵入式数据收集方法来定量评估企业风险。
使用UpGuard,一个组织'的安全等级范围是0到950,由所有域的风险等级的加权平均值组成。
评分越高,组织越好's security.
安全评级填补了传统的巨大空白 风险评估方法 like 渗透测试 and on-site visits.
传统方法耗时,时间点昂贵,成本高,并且通常依赖于主观评估。此外,很难验证供应商对其信息安全控制提出的主张。
通过将安全等级与现有风险管理技术结合使用,第三方风险管理团队可以获取有关供应商的客观,可验证且始终最新的信息's security controls.
根据 加特纳, 在评估现有和新业务关系的风险时,网络安全等级将与信用等级一样重要……这些服务将成为业务关系的前提,并成为服务提供者和采购者应有的谨慎标准的一部分。此外,服务将扩大其范围以评估其他领域,例如网络保险,对M的尽职调查&甚至作为内部安全程序的原始指标。
此外,许多安全领导者发现安全等级以及他们提供的网络安全指标,对于向其董事会,最高管理层以及越来越多的股东进行报告非常有价值。
UpGuard如何帮助您扩展第三方风险管理计划
像这样的公司 洲际交流, 泰勒·弗莱, 纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard'的安全等级以保护其数据, 防止数据泄露 并评估他们的安全状况。
UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在评估相关和第三方信息安全控制上的时间 供应商问卷 and providing 供应商问卷模板.
我们可以帮助您持续监控供应商'外部安全控制,并提供公正的安全评级。
我们的评级基于对70多个矢量的分析,其中包括:
- 易受中间人攻击
- 不安全的SSL / TLS证书
- SPF,DKIM和DMARC设置
- HTTP严格传输安全性(HSTS)
- 电子邮件欺骗和网络钓鱼风险
- 漏洞
- 恶意软件敏感性
- 不必要的开放管理,数据库,应用程序,电子邮件和文件共享端口
- 接触已知 数据泄露 and 数据泄漏
- 易受攻击的软件
- HTTP可访问性
- 安全的cookie配置
- 结果 智能安全调查表
我们还可以帮助您立即针对您当前和潜在的供应商与他们的行业进行基准比较,以便您了解它们的堆叠方式。
为了评估您自己的信息安全控制措施, UpGuard BreachSight 可以监视您的组织以进行70多种安全控制,从而提供简单易懂的信息 网络安全等级 并自动检测S3存储桶,Rsync服务器,GitHub存储库等中泄漏的凭据和数据暴露。
UpGuard与其他安全评级供应商之间的主要区别在于,有非常公开的证据表明我们在预防 数据泄露 and 数据泄漏.
我们的专业知识在以下方面得到了体现: 纽约时报, 华尔街日报, 彭博社, 华盛顿邮报, 福布斯, 路透社 and TechCrunch。
您 can read more about what our customers are saying on 加特纳评论.
如果你'd想看你的组织's 安全等级, 单击此处请求免费的网络安全评级.
