博客
Creating a Vendor Management Policy 和 Why 您 Need One
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

供应商管理策略的目的是确定哪个 供应商 使您的组织面临风险,然后定义控制措施以最小化 第三方 and 第四方风险。它从尽职调查开始,并评估第三方供应商是否应有权访问 敏感数据.

这些内部控制措施可能包括重写供应商合同以确保供应商达到一定的安全级别,进行年度检查或将现有供应商替换为符合安全服务级别协议(SLA)和 SOC 2 安全要求。确保在每个合同生命周期结束时提出RFP来重新评估新的和现有的供应商。

为什么您的组织需要供应商管理策略

尽管许多组织都制定了内部安全策略,但他们通常对第三方供应商带来的风险缺乏清晰的了解。将此与越来越多的法律,法规,财务和声誉原因一起制定供应商管理策略。 

监管机构已经意识到第三方 数据泄露 and 数据泄漏 代表重要 网络安全风险。这导致对法规的审查越来越严格 第三方风险管理信息风险管理 and 供应商风险管理尤其是在有权访问 个人身份信息(PII)

除法规和法律问题外, 数据泄露成本 从未达到过392万美元。涉及第三方的数据泄露使平均成本增加了370,000美元以上,达到429万美元。这些费用不包括某些 最大的数据泄露 like Equifax 和 脸书

第三方关系如何带来更多潜在风险?

每个组织都应该关注有权访问的第三方 敏感数据,知识产权或公司网络。与您合作的第三方越多, 网络攻击 潜在的攻击者可以 利用

外包变得越来越普遍,组织希望他们的供应商经常节省成本或利用供应商的资金'的专业知识。这通常是正确的业务决策,但是'了解您拥有的供应商越多,越重要 网络威胁 you create. 

组织需要 持续监控 整个生命周期内的第三方服务提供商 网络安全风险评估 is not enough.

高级管理人员应考虑到 信息安全, 数据安全网络安全, 灾难恢复, 信息安全政策 and 访问控制 以及成本,信息技术和供应商专业知识作为供应商选择过程的一部分。

为什么对任何供应商管理程序都必须进行连续监视

许多组织进入供应商关系并不完全了解供应商如何管理和处理其及其客户' data.

在许多情况下,组织并未对供应商应如何保护数据提出明确要求。即使这样做,他们也常常难以实施监控。 

将其与新的事实配对 漏洞 are added to CVE 每天并且您的供应商可能有供应商(第四方风险)谁可能有权访问您的数据和监控 供应商风险 用手变得几乎不可能。 

这就是为什么您应该投资于 自动监视和评估您的供应商'安全性能和自动化安全调查表.

It's not enough to only 监视组织中的数据暴露和凭证泄漏. 您 need a holistic view of first, third 和 第四方风险.

没有供应商管理策略会有什么后果?

快速的Google搜索将显示成千上万个由第三方供应商造成的数据泄露结果。这些中的每一个都是由于供应商管理不善可能导致的后果的具体示例。组织需要 防止第一方和第三方数据泄露.

如果您的组织没有供应商管理策略,则表示您疏忽大意。疏忽您的客户,股东和员工。 

不幸的是,没有适当的政策意味着您的组织很有可能's 敏感数据 and your customers' 个人身份信息(PII) 被不应该的人处理't have access.

数据泄露是第三方供应商造成的,网络攻击还是错误,通常与您的客户无关。数据泄露对客户造成巨大的负面影响'信任您的组织。的 平均数据泄露导致142万美元的业务损失和3.9%的客户流失.

如何创建供应商管理策略

在创建供应商管理策略之前,请收集您的供应商列表。请记住,供应商的定义是广义的。供应商是与您的组织有业务往来的每个第三方,承包商或关联公司。 

It'仅仅不清楚供应商是谁,您需要确切地知道谁是供应商才能有效地监视他们。

列表编译后,确定哪些供应商:

  • 有权访问敏感数据或个人身份信息(PII)
  • 可以访问您的内部网络
  • 您的组织所依赖的重要业务活动

符合此条件的供应商应归类为“关键”供应商,在这里您应花费大部分时间来学习,监视并在必要时要求补救。

如果这些供应商之一受损,则可能导致破坏性的数据泄露。

供应商管理策略应包括哪些内容?

您r vendor management policy should include:

  • 服务水平协议(SLA)
  • 供应商合规标准
  • 可接受的供应商控制
  • 发生数据泄露时的供应商责任
  • 供应商审查(SOC 2报告,现场访问和审核要求)
  • 在没有安全要求时终止合同 't met
  • 董事会或高级管理层的监督
  • 灾难恢复和重要业务职能的既定冗余

在此过程中,确定每个供应商具有的访问级别是否有意义。并非所有供应商都需要对敏感数据,网络和信息技术系统具有相同级别的访问权限才能完成工作。

如何使用供应商管理策略评估新供应商

对于新供应商,强大的供应商管理策略将使您能够首先确定是否与他们开展业务。此策略的目的是确保所有供应商都正确管理敏感信息。

考虑投资一种可以 评价您的供应商'针对标准的安全性 and provide a 安全等级 可以随时间进行监控,并以其行业为基准。

最重要的是,唐'尽职调查后停止供应商管理。

Traditional 供应商风险管理 assessments are subjective, unverifiable, unactionable 和 at a point in time. 您 need a way to 持续监控并验证第三方'安全态势的避风港't changed 如果有新的风险和 漏洞 occur.

许多 恶意软件类型, 喜欢 想哭 勒索软件,利用已知漏洞,并可以通过持续监控来预防。 

持续的供应商管理是任何好处的一部分 纵深防御 网络安全 management process.

UpGuard如何帮助您管理供应商风险

供应商管理策略可能难以实施。从发送安全调查表到收集数据,'这是一个费力的过程。 

UpGuard供应商风险 通过自动执行供应商调查表并持续监控您的供应商,可以最大程度地减少组织花费在管理第三方关系上的时间' 安全态势 随着时间的流逝,同时将它们与行业进行比较。 

每个供应商均根据50多个标准(例如是否存在 SSL协议  and 域名系统,以及 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台都会通过 网络安全等级 满分为950。如果他们的分数下降,我们甚至可以提醒您。

对于第一方风险, UpGuard BreachSight 可以连续扫描并发现与业务各个部门相关的数据暴露和泄露的凭证。 

他们'变得强大起来,甚至一起变得更好。  网络安全从未如此重要.

立即预订演示 开始防止第一方和第三方数据泄露。

免费电子书

了解和解决供应商风险

了解有关如何理解和应对针对常见攻击(例如中间人攻击,网络钓鱼,域名劫持,恶意软件和内部威胁)的供应商风险的信息。
白色UpGuard徽标
了解和解决供应商风险
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状