博客
供应商风险管理清单
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

供应商风险管理(VRM) 是一个广泛的类别,涵盖您的组织可以采取的所有措施 防止数据泄露 并确保业务连续性。法律问题,过往表现和信誉是所有公司经常审查的一些常见VRM问题。另外, 网络安全 and the reduction of 第三方安全风险 越来越重要。

有效的供应商风险管理审核流程可确保您的供应商评估流程保持最新状态,保护敏感信息并改善您的组织'的风险管理流程。

为了使组织真正受到保护,他们不仅必须审核并持续监控其第三方关系,还必须对其标准,法规和 最佳做法 他们以此为基础 第三方风险管理框架.

那's why we'我们将这份供应商风险管理清单汇总在一起,以帮助您建立稳健的 供应商风险管理程序.

供应商管理审核的步骤是什么?

任何成功的审核都始于建立审核跟踪。这包括第三方风险评估框架和运营模型,指导流程的有效文档以及基于使用认可方法的安全风险评估对供应商进行分类。 

接下来,组织必须提供供应商报告审查,以证明在整个供应商生命周期中的持续治理。

第三方风险评估框架和方法学文档应包含哪些内容?

在评估第三方供应商或建立运营模型之前,您需要开发第三方风险评估框架和方法,以根据预定的输入对供应商进行分类。 

您选择的第三方风险管理框架应基于您的法规要求,可接受的风险级别,第三方的使用,业务流程,合资企业,合规性要求以及整体企业风险管理策略。它可能会考虑到高级管理层和董事会的需求。

阅读我们的指南,了解如何选择第三方风险评估框架以获取更多信息

组织需要什么作为其运营模型文档的一部分?

运营模型是指您用来指导供应商管理流程的策略,过程,流程和人员。许多符合法规要求的组织将其运营模型组织为三道防线(LOD):

  1. 产生,拥有和控制风险的业务线。
  2. 支持职能对第一线进行监督,其中包括操作风险和合规性的风险准则。 
  3. 内部审计,其职责来自董事会,以对第一和第二道防线进行过程审计

这些行(以及概述其功能的文档)充当任何第三方风险管理程序的基础。这是可用于评估操作模型和文档的成熟度的检查列表。

风险评估政策

__ 具有评估信息价值的结构化方法

__ 已记录并建立 风险评估方法 (定性,定量或组合)

__ 识别资产并确定优先级

__ 识别常见威胁

__ 识别漏洞

__ 以一致且无偏见的方式评估供应商,例如 安全评级工具

__ 分析现有的并在必要时实施新的控制

__ 每年计算各种方案的可能性和影响

__ 根据预防成本与信息价值确定风险的优先级

__ 将结果记录在一份风险评估报告中

__ 使用一个 完善的安全调查表

在此处阅读有关如何执行IT网络安全风险评估的完整指南

供应商管理政策

__ 供应商按风险分类

__ 评估并确定对人力资源安全的最低要求

__ 评估并确定对物理和环境安全的最低要求

__ 评估并确定以下方面的最低要求 网络安全 

__ 评估并确定以下方面的最低要求 数据安全

__ 评估并确定以下方面的最低要求 访问控制

__ 评估并确定IT采购和维护的最低要求

__ 要求供应商记录其供应商风险管理程序

__ 概述供应商's 事件响应计划 requirements

__ 定义供应商'业务连续性和灾难恢复责任

__ 列出供应商合规性要求

__ 概述可接受的供应商控制

__ 列出最低的供应商审核要求(例如SOC 2,现场访问和审核要求)

在此处阅读有关供应商管理策略的完整指南

供应商管理程序

__ 具有工作流程以进行供应商管理审查

__ 指定利益相关者来跟踪供应商,关系,子公司,文档和联系人

__ 有人负责卖方的尽职调查

__ 使用软件来交付和收集供应商风险评估,例如 UpGuard供应商风险

__ 具有文件化的流程,可以在入职,与供应商合作和离职时协调法律,采购,合规性以及其他业务

__ 具有用于评估供应商绩效的指标和报告 

哪些文档支持供应商报告审核和持续治理?

供应商报告审查是持续治理的重要组成部分。这可以采取连续的安全监视或手动检查证明安全性的文档的形式。您可以使用以下几项检查来了解供应商报告的成熟度:

__ 审核审核报告,例如 SOC 2 and ISO

__ 审查安全问卷

__ 审核财务报告

__ 审查财务控制政策

__ 审查运营控制政策

__ 审核合规控制政策

__ 评论报告 数据泄露 and 数据泄漏

__ 审核访问控制策略

__ 审查变更管理政策

请注意,这些审查应基于监管机构,以确保不会引起人们的注意。 

什么是供应商生命周期管理?

供应商生命周期管理是一种从摇篮到坟墓的方法,可以以一致的方式管理供应商。供应商生命周期管理将组织'认识供应商的重要性并将其整合到采购策略中,从而使他们成为采购流程的核心。 

任何良好的供应商风险管理计划都应从对所有供应商的充分尽职调查开始 第三方供应商和服务提供商。这可以结合使用 持续的安全监控 and 攻击面管理 可以自动评估外部可观察到的工具 信息安全控制 由现有和新供应商使用。 

完成此初始阶段后,应向所有高风险供应商发送一次供应商风险评估,以完成评估其内部安全控制,法规遵从和 信息安全政策.

通常,现代供应商生命周期管理涉及五个阶段:

  1. 资历: 第一个阶段从需求识别和请求过程开始。这可能涉及简单地搜索网络,也可能是一个复杂的RFP流程,在此流程中,潜在的供应商会被告知您的组织'需要获得特定的商品或服务。
  2. 订婚: 选择供应商后,他们将接受供应商入职流程,其中您和供应商都将入职。
  3. 信息安全管理: 这从潜在的供应商的最初联系一直延伸到商品或服务的交付,直至供应商关系的结束。 信息安全 isn'传统上是供应商风险管理的一部分。但是,违反安全性的风险有所增加,导致其被包括在内。此阶段与其他阶段有所不同,因为可以控制的控件 客户数据和敏感数据 需要不断发展 威胁 change. 
  4. 交货: 这是供应商提供商品或服务的地方,还包括供应商绩效管理,可以降低声誉风险并改善灾难恢复。
  5. 终止: 对于低价值供应商而言,此阶段很简单。但是,如果它是一个高价值的供应商,那么外包可以很简单。为了确保供应商的正常离职,您需要确保履行所有合同义务,并且所有敏感数据都已移交或销毁。 

在深入研究供应商生命周期管理之前,您需要从头到尾规划供应商关系管理流程。这将有助于您将来进行审核'能够找到任何 供应商风险管理政策,解决生命周期中每个步骤的过程和流程。 

We'列出了可以使用的可能检查的清单,这些清单可以在采购过程和决策中发挥作用。并非每个项目都是必需的,但完成越多,您就越'能够减轻风险。 

话虽如此,尽职调查的过程将因公司,行业和地区而异。一些法规(例如HIPAA)规定了具体的尽职调查做法,一些行业已采用标准化流程。此外,根据要评估的供应商的类型,要求可能会有所不同。 

供应商资格检查表

收集此信息可确保公司合法并具有在您所在行业开展业务的许可。您'我还想收集关键人物的信息,以用于进一步的风险评估。

__ 拥有公司章程(或公司章程)

__ 拥有营业执照

__ 提供的公司结构概述

__ 提供了高级管理层和董事会成员的简历

__ 位于我们可接受风险水平以内的国家

__ 通过照片,现场访问或视频会议提供位置证明

__ 从可靠来源提供参考

__ 获得保险文件

在评估企业合法之后,您'我要评估供应商在财务上是否具有偿付能力并应纳税。那里'由于下个月将关闭商店,因此没有必要使用供应商。相反,供应商的强劲增长可能会在以后预测价格上涨。

__ 取得税务文件

__ 审查资产负债表和财务报表

__ 了解信用风险和其他负债

__ 审查主要资产

__ 了解薪酬结构,人员培训和许可

供应商参与清单

现在你've评估该卖方是一家合法企业,具有财务上的偿付能力,'重要的是要了解他们是否在任何监视列表中,是否有负面新闻或可能对您的组织构成危险。这很重要,因为供应商经常可以访问敏感信息或系统。腐败或政治弱点可能很危险,供应商发生的安全事件也可能影响您的组织。

__ 供应商不在任何观察名单,全球制裁名单或监管机构发布的名单上

__ 对主要人员进行了政治暴露人员(PEP)列表和执法人员列表检查

__ 审查了与风险有关的内部政策和程序

__ 审查了消费者金融保护局等机构的报告

__ 审核的供应商's 和 key personnel's litigation history 

__ 没有负面新闻报道或负面新闻的可接受水平

__ 在G2 Crowd和Gartner等网站上接受的负面评论和投诉数量

现在你'如果从政治和运营风险角度评估了供应商是否合适,则应评估企业是否已制定适当的业务连续性计划。您想知道供应商是否面临可能对您的组织产生负面影响的运营风险。这可能是SaaS提供商的停机时间,也可能是服务业务的关键人员流动。 

__ 供应商有 事故响应计划

__ 供应商有灾难恢复计划

__ 供应商有足够的业务连续性计划

__ 员工离职率是可以接受的

__ 没有待决或过去的员工诉讼或其他有毒文化指标

__ 在Glassdoor上可接受的负面员工评论数量

__ 供应商已制定行为准则

最后,它'是时候评估合同本身的质量了。 

__ 合同有明确的条款和时间表

__ 合同包括工作说明

__ 合同包括交货日期

__ 合同包括付款时间表

__ 合同包含信息安全要求

__ 合同包括供应链和外包信息安全要求

__ 合同包含终止或续订信息

__ 合同包含一个条款,当不满足安全要求时,该条款可以终止合同

供应商信息安全管理清单

数据泄露通常来自第三方供应商。它们不仅频繁,而且成本也越来越高。平均 数据泄露成本 目前全球涉及第三方的费用接近429万美元。 

__ 供应商有一个 安全等级 符合我们的期望

__ 供应商安全等级已针对其行业进行了基准测试

__ 供应商已在数据保护和信息安全控制方面进行了投资

__ 供应商用途 访问控制 such as RBAC

__ 供应商愿意填写风险评估清单 

__ 供应商提供了IT系统概述

__  渗透测试结果 对于卖方来说是可以接受的

__ 拜访供应商'评估物理安全性的站点

__ 供应商没有数据泄露的历史记录

__ 供应商员工进行例行网络安全意识培训

__ 供应商不'引入了无法接受的网络风险水平

供应商服务交付清单

一旦您'我已经满足了信息安全管理要求,'是时候监视供应商如何交付您所支付的服务(或商品)。  

__ 可交付成果已计划

__ 应收款已计划 

__ 高级管理层了解谁负责与供应商合作

__ 安全团队接受任何物理访问要求

__ 安全团队接受系统访问要求

__ 发票时间表已建立

__ 建立付款机制

供应商终止清单

最后,供应商管理生命周期的最后一部分是了解如何使供应商脱离市场。此阶段的范围从简单到难以置信的复杂,具体取决于您的业务与供应商之间的交织程度。为确保您的外部供应商正常工作,请确保您制定了可靠的清单。这是您可以使用的一些检查。

__ 物理访问权限已被撤消

__ 系统访问权限已被撤消

__ 合同义务已履行

__ 敏感数据已移交或销毁

UpGuard如何增强您的供应商风险管理程序

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard'的安全等级以保护其数据, 防止数据泄露 并评估其安全操作。

UpGuard供应商风险 可以最大程度地减少您的组织用于评估相关和第三方的时间 信息安全 通过自动化控制 供应商问卷 and providing 供应商问卷模板.

我们还可以帮助您立即针对您当前和潜在的供应商与他们的行业进行基准比较,以便您了解它们的堆叠方式。

为了评估您的信息安全控制措施, UpGuard BreachSight 可以监视您的组织以进行70多种安全控制,从而提供简单易懂的信息 网络安全等级 并自动检测S3存储桶,Rsync服务器,GitHub存储库等中泄漏的凭据和数据暴露。

UpGuard与其他安全评级供应商之间的主要区别在于,有非常公开的证据表明我们在预防 数据泄露 and 数据泄漏

我们的专业知识在以下方面得到了体现: 纽约时报 华尔街日报彭博社华盛顿邮报福布斯路透社和 TechCrunch。

您 can read more about what our customers are saying on Gartner评论.

如果你'd想看你的组织's 安全等级, 单击此处请求免费的网络安全评级.

立即获得UpGuard平台的7天免费试用.

免费电子书

买家'第三方风险管理指南

您是否正在寻找一种解决方案来帮助您的企业管理第三方供应商风险?了解了解网络风险,管理供应商并避免数据泄露所需的功能。
白色UpGuard徽标
买家'第三方风险管理指南
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状