博客
为什么供应商风险管理很重要?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

让第三方供应商提供商品和服务并不是一个新概念,那么为什么供应商风险管理变得如此重要?

供应商风险管理很重要,因为管理 供应商风险 is foundational to 网络安全,确保业务连续性并保持法规遵从性。强大的供应商风险管理(VRM)计划可以帮助组织了解其供应商风险状况并缓解 第三方 and 第四方风险 而不是依靠 事件响应.

对于依靠第三方来为其客户提供关键任务服务的受监管行业中的组织,例如金融服务和医疗保健,尤其如此。 

随着围绕第三方风险管理流程的监管期望不断提高和增强,'必须有能力 持续监控和管理您的供应商'性能及其带来的风险.

什么是供应商风险管理?

供应商风险管理(VRM) 处理和监控由 第三方供应商 和服务提供商。 

供应商风险管理与风险缓解有关,尤其是:

  • 网络安全风险: 风险造成的风险或损失 网络攻击, 数据泄露 或其他安全事件。通常可以通过在入职新供应商之前进行尽职调查并持续监控供应商生命周期来减轻这种风险。
  • 操作风险: 第三方将导致业务运营中断的风险。这通常通过合同约束的服务水平协议(SLA)进行管理。根据供应商的重要性,您可以选择设置备用供应商以确保业务连续性。这是金融机构的常见做法。
  • 法律,法规和合规风险: 第三方将影响您的组织的风险'遵守当地法律,法规或协议。这对于金融服务,医疗保健和政府组织及其业务合作伙伴而言尤其重要。 
  • 名誉风险: 第三方引起的负面舆论带来的风险。不满意的客户,不适当的互动和糟糕的建议只是冰山一角。最具破坏性的事件是由于安全控制不力而导致的第三方数据泄露,例如 目标's 2013 数据泄露
  • 财务风险: 第三方将对组织的财务成功产生不利影响的风险。例如,由于供应链管理不善,您的组织可能无法销售新产品。 
  • 战略风险: 您的组织由于第三方供应商而无法实现其业务目标的风险。

是什么促使人们越来越重视供应商风险管理?

有许多因素促使组织更加重视第三方风险,这些风险可以归纳为以下几个方面:

  • 规: 更多关注 第三方风险管理 以及全球监管机构对供应商的风险评估,例如  FISMA CPS 234 GLBA , SOX ,PCI DSS和HIPAA
  • 市场情况: 全球经济衰退导致许多组织将业务外包以降低成本
  • 声誉影响: 对供应商绩效不佳或失败可能造成的声誉损害的了解日益加深,导致高级管理人员在事故发生前就十分在意 
  • 技术: 技术的变化导致跨云服务存储,处理和传输数据
  • 海外供应商: 越来越多地使用离岸供应商增加了组织承担的监管风险
  • 专业供应商: 组织越来越依赖无法自带的专业供应商的产品和服务

供应商风险管理程序可降低 数据泄露, 数据泄漏 以及涉及第三方和第四方的网络攻击, 敏感数据 个人身份信息 PHI ,知识产权并确保业务连续性。 

尽管如此,强大的供应商管理仍然是许多组织中最大的差距之一's 信息安全 programs.

供应商风险管理程序有哪些常见问题?

存在许多可能对您的组织产生重大影响的常见问题,包括:

  • 弹性: 组织没有业务连续性或 事件响应计划 in place. 
  • 偿付能力监控: 不监视第三方偿付能力和财务可行性。 
  • 安全控制: 企业对他们的供应商是否符合其要求没有足够的了解 信息安全政策
  • 合规性: 您 need to be able to measure whether third-parties are in compliance with your data protection requirements. 
  • AML-CTF和KYC: 没有合同义务对供应商执行AML,KYC或CTF检查
  • 知识产权保护: 合同未始终通过IP或法律团队通过,以确保保护知识产权不受损害 企业间谍活动.
  • 健康和安全: 与潜在供应商进行谈判时未考虑在内
  • 企业社会责任: 未建立供应商关系,并且没有任何流程可确保第三方保护您的组织'的品牌和企业社会责任的努力。 

阅读我们关于供应商风险管理的深入指南

为什么第三方供应商对企业很重要?

外包给有效的供应商可以带来以下好处:

  • 专业化: 许多产品或服务是如此专业,以至于外包给一家专门的公司将提供比内部执行功能更好的性能和更低的风险。会计,评估管理,内部审计,人力资源,销售和营销,贷款审查,资产和财富管理,采购或贷款服务。对于较小的公司,'执行每项功能通常是不切实际的。第三方关系使您可以简化组织并专注于核心竞争力。 
  • 节约成本: 许多供应商都从规模经济中受益,能够以比您内部购买的价格更低的价格提供商品或服务。 
  • 全球化: 随着越来越多的国际客户,它'通常需要与当地的供应商合作以进行海外竞争。想一想法律服务,翻译和销售代表等对其他国家或地区有所了解的事情。

什么是第三方供应商?

第三方供应商是指向您的组织提供产品或服务但不在您的组织中工作的任何个人或组织。常见的第三方包括:

  • 制造商和供应商(从PCB到杂货的所有产品)
  • 服务提供商,包括清洁工,碎纸机,顾问和顾问
  • 短期和长期承包商。它'重要的是,您需要按照相同的标准来管理短期和长期承包商,并评估他们可以访问的信息。
  • 任何外部人员。它'重要的是要了解 网络风险 根据外部人员的不同,差异可能很大。
  • 任何长度的合同都可能给您的组织带来风险,并且国税局(IRS)制定了有关供应商和第三方关系的法规,这些法规超出了特定的时间范围,因此即使合同的期限也可能构成风险。在国税局'在供应商的眼中,使用公司电子邮件地址在现场工作超过特定时间段的供应商应归类为雇员,并从中受益。

阅读我们关于第三方供应商的信息以获取更多信息.

供应商风险管理的重要性

从根本上讲,组织越来越依赖外包,并且没有迹象表明趋势正在放缓。 

我们都相信供应商对敏感数据(例如 个人身份信息 , PHI 心理学),这意味着第三方安全漏洞的影响也在增长。 

2019年,涉及第三方的数据泄露的平均成本比第一方数据泄露高37万美元,经调整后的总金额为429万美元。  

问自己以下问题:

  • 我知道谁是我的高风险供应商吗?
  • 我是否知道我的高风险供应商是否已采取适当的数据安全措施来保护我和我的客户'敏感信息?

此外,世界各地的政府都更加重视通用数据保护法,例如  GDPR LGPD 皮派达 SHIELD法案 and  注册会计师 .

如何管理第三方风险敞口?

任何供应商风险管理程序都始于对供应商的准确盘点。 

没有它,它'无法衡量您的供应商引入的风险水平。

一旦您'您有供应商的完整清单,'是时候制定供应商评估流程了,其中应该包括 供应商问卷模板 简化新供应商的入职和对当前供应商的评估。

这就是为什么组织在工具上进行投资的原因 自动创建,发送和评估供应商调查表的结果.

在此处阅读有关顶级安全调查表的完整指南.

但是不要'只是依靠问卷。问卷的问题在于它们的时间点,主观性和管理成本高昂,'不会随着规模的增长而改善。您的组织越大,您的供应商就越多'll have.

这个问题的一个答案是 安全等级

安全等级是对 安全态势,类似于信用评级如何衡量贷款质量。作为供应商'的安全等级会提高,他们的安全状况也会提高。  

安全等级产品 提供对任何供应商的实时,非侵入式测量'的安全性能,并可以立即提供有关您的性能和跨第三方共享的主要风险的汇总视图。 

这使您的供应商管理团队能够 持续监视各个供应商的安全问题 无需扩展人员。 

阅读我们的供应商风险管理最佳实践指南.

UpGuard如何帮助您扩展供应商风险管理计划

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞 and avoid 恶意软件.

We're experts in 数据泄露 and 数据泄漏 , 我们的  研究 已在 纽约时报华尔街日报彭博社华盛顿邮报 福布斯 路透社 and Techcrunch。

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 and providing 供应商问卷模板 that map to the NIST网络安全框架 和其他最佳做法。我们可以帮助您持续监控供应商'随着时间的流逝而形成的安全态势,同时将它们与行业进行比较 

每个供应商均根据50多个标准(例如是否存在  SSL协议 协议  and  域名系统 ,以及 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台都会通过 网络安全等级 out of 950. We'如果他们的分数下降,我会提醒您。

UpGuard BreachSight 可以帮助监控DMARC,打击 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。 

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订UpGuard平台的演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状