博客
什么 Is 第三方风险管理? TPRM clearly explained

什么 Is 第三方风险管理? TPRM clearly explained

摘要形状摘要形状

第三方风险管理(TPRM)是分析和最大限度地减少与外包相关的风险的过程 第三方供应商或服务提供商.

有很多类型的 数字风险 在第三方风险类别中。这些可能包括财务,环境,声誉和安全风险。

存在这些风险,因为供应商可以访问知识产权, 敏感数据, 个人身份信息(PII), 和 受保护的健康信息(PHI).

由于第三方关系对业务运营至关重要,因此第三方风险管理是所有网络安全计划的重要组成部分。

什么 is a third-party?

第三方是您的组织适用的任何实体。这包括供应商,制造商,服务提供商,商业伙伴,附属公司,经销商,经销商和代理商。

它们可以是上游(供应商和供应商)和下游(分销商和经销商),并可包括不合理实体。

例如,他们可以提供一个萨斯产品,使您的员工能够生产,为您的物理供应链提供物流和运输,或者它们可能是您的金融机构。

什么'是第三方和第四方之间的差异?

第三方是一个供应商,供应商,合作伙伴或其他实体与您的组织直接进行业务,而第四方是第三方的第三方。第四派(或"Nth parties")反映aren供应链深入的关系'T必须与您的组织合同联系,但通过第三方连接。

为什么第三方风险管理重要?

第三方风险管理 是重要的,因为使用第三方,无论是直接和间接的,都会影响你的 网络安全。第三方增加了你的复杂性 信息安全 for several reasons:

  1. 每个业务都依赖于第三方'往往最好将外包给特定领域的专家。
  2. 第三方aren'通常在您的控制下,也不是您的安全控件的完整透明度。一些供应商具有强大的安全标准和良好的风险管理实践,而其他供应商则留下了很多要求。
  3. 每个第三方都是一个潜力 攻击矢量 为一个 数据泄露 或者 网络攻击。如果供应商有一个脆弱的人 攻击表面 它可用于获得您组织的访问权限。您使用的供应商越多,您的攻击表面越大,您可以面临的潜在漏洞。
  4. 概述一般数据保护和数据泄露通知法如GDP, CCPA, FIPA., 皮皮达, 盾牌行为, 和 LGPD. 大大提高了第三方风险管理计划不足的声誉和监管影响。例如,如果第三方可以访问您的客户信息,则 数据泄露 在该第三方可能导致您的组织面临监管罚款和惩罚 - 即使您不打击'T直接负责违规行为。一个着名的例子是其中一个 目标'S HVAC承包商导致了数百万信用卡的曝光.

阅读我们关于第三方风险管理重要性的完整指南.

什么 risks do third-parties introduce?

组织在使用第三方时面临许多潜在风险,包括:

  • 网络安全风险: 由a引起的暴露或损失的风险 网络攻击, 安全漏洞或其他安全事件。网络安全风险通常通过在船上供应商之前通过尽职调查过程来缓解。 连续监测 整个供应商生命周期。
  • 操作风险: 第三方的风险造成业务运营中断。这通常通过合同绑定的服务级别协议(SLA)和业务连续性管理 事件响应计划。根据供应商的关键性,您可以选择将备份供应商合在于金融服务业的常见做法。
  • 法律,监管和合规风险: 第三方影响您遵守本地立法,监管或协议的风险。这对金融服务,医疗保健和政府组织及其业务合作伙伴尤为重要。
  • 声誉风险: 由于第三方,负面舆论的风险。不满意的客户,不当互动,差的建议只是冰山一角。最损害的事件是贫困人口引起的第三方数据漏洞 数据安全, 喜欢 目标's 2013 data breach.
  • 财务风险: 第三方对组织的财务成功产生不利影响的风险。例如,由于供应链管理不佳,您的组织可能无法销售新产品。
  • 战略风险: 由于第三方供应商,您的组织将无法满足其业务目标的风险。

为什么你应该投资第三方风险管理

您应该投资的原因有很多原因 第三方风险管理:

  • 降低成本: It'适合认为第三方风险管理作为投资。它将您的金钱(和时间)提前耗费,但在长期省钱。 数据泄露的平均成本 涉及第三方为429万美元。有效的第三方风险管理策略可以大大降低数据泄露的风险。
  • 法规遵从性: 第三方管理是许多监管要求的核心组成部分,如 佛罗斯卡, 袜子, hitech., CPS 234., glba., 和 NIST网络安全框架。根据您的行业和您处理的数据类型(例如PII或PHI),您可能会合法地评估您的第三方生态系统,以避免对第三方安全事件负责。事实是第三方风险管理现在是大多数行业和不合规的行业标准的一部分并非选择。
  • 降低风险: 执行尽职调查简化供应商的船坞流程,并降低了第三方安全漏洞的风险和 数据泄漏。除了初次尽职调查外,还需要在其生命周期上连续审查供应商,因为可以随着时间的推移推出新的安全风险。
  • 知识和信心: 第三方风险管理将您的知识和可见性提高到您正在使用的第三方供应商并从初始评估过程中提高各个阶段的决策。  

什么 does 第三方风险管理 entail?

为了发展有效 第三方风险管理框架 这可以归入您的整体企业风险管理'建立强大的第三方风险管理进程很重要,包括以下步骤。

第1步:分析

在船上第三方之前,它'重要的是要识别您将向您的组织和所需的尽职调查级别引入风险。

这是一种越来越受欢迎的方式是使用 安全评级 确定是否是外部的 安全姿势 供应商符合最低可接受的分数。如果它确实如此,那么你就会进入第2步。

upguard. Vendor Risk 可以帮助您找到并评估新供应商的安全性能,免受50多个标准。

第2步:参与

如果供应商'S安全评级就足够了,下一步是让供应商提供(或完成)安全问卷,这些安全调查问卷提供洞察的安全控制'局外人可见。

考虑使用 upguard. Vendor Risk 使用我们的内置问卷库自动执行您的安全问卷工作流程。如果您想要有关特定调查问卷的更多信息,请查看我们的帖子 Hecvat., caiq., s, 独联体前20名, NIST SP 800-171., 和 VSA问卷.

第3步:修复

如果供应商有不可接受的风险,您可能会决定你'T,直到他们修复您找到的安全问题之前。这是一个可以帮助修复的工具的工具很重要,因为没有一个,你可以轻松丧失Excel电子表格和电子邮件收件箱中的重要问题。

我们也可以帮助修复。这 upguard. Vendor Risk 仪表板自动优先考虑最关键的风险,我们的修复工作流程确保风险快速解决以及审计跟踪。

第4步:批准

在修复(或缺乏)之后,您的组织可以决定是否在供应商船上或选择根据风险容忍,供应商的关键性以及您可能拥有的任何合规性要求寻找不同的供应商。

第5步:监测

It'在船上后,不会停止监控供应商的安全性的重要性。如果有的话,它'更重要的是要监控它们,因为他们现在可以访问内部系统,敏感数据,并用于您的业务流程。

这是哪里 连续安全监测(CSM) 进来。连续的安全监测(CSM)是一种自动监测的威胁情报方法 信息安全控件, 漏洞, 和别的 网络威胁 支持组织 风险管理 决定。

阅读我们的指南,即不断的安全监控以获取更多信息.

什么 is a vendor management policy?

供应商管理策略识别最大风险,然后定义控件以最小化的供应商 第三方第四方风险.

这可能包括确保所有供应商合同符合最低安全评级,并使用能够满足安全标准的新供应商或更换现有供应商的现有供应商或 SOC 2 保证关键厂商。

它还可以提供您组织的简短概述's 第三方风险管理框架 和流程。

许多组织输入供应商的关系并不完全了解供应商如何管理和处理他们的客户及其客户'尽管在自己的内部安全控制中投入了很大投资的数据。

阅读我们关于如何创建供应商管理策略以了解更多信息的指南.

如何评估第三方

存在评估第三方的各种解决方案和方法。一般来说,高级管理层和董事会将决定与他们最相关的方式,这取决于其行业,雇用的供应商数量和 信息安全策略。通用解决方案和方法包括安全评级,安全问卷,渗透测试和虚拟和现场评估。

安全评级

安全评级,如那些所提供的评级 upguard. Vendor Risk,是第三方风险管理的一部分越来越受欢迎的部分。他们可以帮助:

您可以在此处阅读我们的安全评级指南

安全问卷

安全问卷(或第三方风险评估)旨在帮助您识别可能导致a的第三方供应商,商业伙伴和服务提供商之间的潜在弱点 数据泄露, 数据泄漏,或其他类型的 网络攻击。如果你'希望将安全问卷添加到第三方风险管理流程,看看我们的 供应商风险评估模板顶级问卷指南 想要查询更多的信息。

如果你'重新寻找预先构建的图书馆和完整的 供应商风险管理 旨在简化和自动化安全问卷流程的解决方案看起来不比 upguard. Vendor Risk.

渗透测试

渗透测试,笔测试或道德黑客攻击是测试计算机系统,网络或Web应用程序的实践's 网络安全 通过寻找 可利用的 安全漏洞。穿透测试可以用渗透测试工具自动化,或者通过渗透测试仪手动。

阅读我们在此处渗透测试的完整指南.

虚拟和现场评估

虚拟和现场评估通常由外部实体执行,并且可以包括策略和过程审核,以及物理安全控制的物理审查。

什么 are the common challenges of 第三方风险管理?

在实施和运行第三方风险管理计划时,大多数组织都面临着许多常见的困难。

缺乏速度

It'没有秘密让供应商完成安全问卷和处理结果可以是一个冗长的过程。当调查问卷以没有版本控制的冗长电子表格形式时,更糟糕的过程,导致错误易于忽略,耗时和不切实际的过程't scale.

缺乏深度

许多组织犯了相信他们的错误'T需要监控低风险的第三方,例如营销工具或清洁服务。在今天'世界,你需要监控所有供应商,这就是大多数公司都转向自动化工具的原因 upguard. Vendor Risk.

缺乏可见性

传统风险评估方法,如渗透测试,安全问卷和现场访问是耗时,时间点,昂贵,并且经常依赖主观评估。另外,难以验证供应商对其信息安全控件的供应商难以验证。

即使调查问卷揭示了给定供应商的有效性'S安全控制,它只为此时间点确实如此。 IT基础架构在大多数组织的助焊剂中,因此它可能不会将当前的现实反映几个月。

这就是为什么组织正在使用传统风险评估技术的安全评级。

通过使用安全评级与现有的风险管理技术结合使用,第三方风险管理团队可以拥有有关供应商的客观,可验证和始终的最新信息's security controls.

根据 Gartner., 在评估现有和新的业务关系的风险时,网络安全评级将变得与信用评级同样重要......这些服务将成为业务关系的前提,以及服务提供商和服务采购者的适当照顾标准的一部分。此外,服务将扩大其范围,以评估网络保险等其他领域,尽职调查&甚至作为内部安全程序的原始度量标准。

缺乏一致性

ad-hoc第三方风险管理流程意味着并非所有供应商都被监控,当它们是时,它们并不与其他供应商相同的标准。

虽然它'很好,甚至建议,比非关键供应商更加严重评估关键供应商,它'仍然很重要,可以评估所有供应商反对相同的标准化检查,以确保没有任何内容落下裂缝。

缺乏背景

许多组织未能在评估周围提供上下文,尽管不同类型的供应商关系(即使是同一供应商)可能会带来不同的风险水平。例如,供应商只能用于传输非敏感信息,例如博客帖子,而另一个供应商可以处理,存储和处理您的客户's sensitive data.

在保护中可能不是优先权,采取行动以减轻与后者相关的任何风险是至关重要的,因为它们对您和您的客户带来了重大风险' privacy.

许多 upguard. Vendor Risk 客户根据其关键性使用我们的标签功能来标记供应商,允许其安全团队首先专注于最大的威胁,并有效利用其限制时间和预算。

缺乏可追踪性

您的组织可能雇用数百甚至数千个三方,并跟踪它们可能是一个挑战。

It'重要的是密切监测您的供应商是谁以及谁已被发送安全问卷,他们回答的程度,以及他们完成的时候。

缺乏参与

沟通网络安全的重要性,尤其是可能与组织可能具有不同观点和目标的较差的供应商是困难的。它'在几周甚至几个月内,不少见,以获得供应商回答问卷。

这就是它的原因'对于您可以在不必跟踪不同文件和电子邮件的情况下,您可以在那里拥有一个集中式地点,在那里您可以发送和审查安全问卷。

我应该在第三方风险管理平台中寻找哪些功能?

软件可以是管理第三方风险的有效方式。它'在评估潜在的第三方风险管理平台时,请考虑上面概述的所有列表很重要 upguard. Vendor Risk。良好的产品将能够通过分析来解决完整的生命周期来持续监测。

安全评级

安全评级或网络安全评级是组织的数据驱动,目标和动态测量's 安全姿势。他们是由一个人创造的 值得信赖的,独立的安全评级平台 使它们归功于组织的客观指标's 网络安全性能.

正如信用评级和FICO分数的目标是提供定量衡量信贷风险的量度,安全评级旨在提供定量衡量标准 网络风险.  

安全评级越高,组织越好's security posture.  

问卷库

寻找提供预先构建的问卷库库的解决方案,因此您可以快速监控您的供应商免受行业最佳实践和监管要求。

可定制的问卷

除了标准化问卷之外,一些组织可能希望根据其独特的需求和欲望开发自己的安全问卷。和 upguard. Vendor Risk,您可以创建自己的安全问卷或支付,让我们的专家团队为您的组织创造一个。

可扩展性和自动化

并非每个解决方案都能够提供快速扩展和管理数百甚至数千个第三方所需的自动化。

每个解决方案也不提供相同的覆盖率。如果您的组织雇用了小专家供应商,请确保解决方案涵盖它们。例如,Upguard每天扫描超过200万个组织,客户可以自动添加新供应商。

修复工作流程

具有修复工作流程的平台将允许您根据自动扫描和已完成的问卷从特定供应商请求修复。它还将允许您查看当前的修复请求,要求修复有哪些风险,以及发送修复请求时。

报告.

It'重要的是能够报告第三方风险管理计划的结果,无论是对董事会,高级管理人员,监管机构还是同事。这就是为什么强大且易于理解的报告能力是重要的一部分

第四方发现

It'很重要的是要理解你的第四党供应商是谁。虽然您可能与他们没有合同协议,但它们仍然可以影响 机密性,完整性和可用性 你的组织。

例如,即使你不'T依赖AWS,但是你有很多供应商那样,AWS中断可能导致您的组织也无法运营。

连续监测

为确保您留在新风险之上,您需要一个始终是最新的解决方案。

准确性和彻底性

您的第三方风险管理计划仅作为其依赖的数据有效。如果您使用安全问卷,请尝试使用经过良好测试的模板,如果您使用安全评级,请查看遵守公平和准确的安全评级的原则的那些。  

  • 透明度: Upguard认为不仅为我们的客户提供完整和及时的透明度,而且为任何想要了解他们的安全姿势的组织,这就是您可以的原因 请求您的免费安全评级 你可以 在这里预订我们平台的免费试用.
  • 争议,更正和上诉: upguard致力于与客户,供应商和任何相信其分数的组织合作,不准确或过时。
  • 准确性和验证: UpGuard'S安全评级是经验,数据驱动的,基于可验证和可访问的信息。
  • 模型治理: 虽然用于计算安全评级的数据集和方法可以不时更改,但更好地反映我们对如何减轻网络安全风险的理解,但我们为客户提供合理的通知和解释,了解他们的安全评级如何受到影响。
  • 独立: 没有商业协议或缺乏,使组织能够在不提高安全姿势的情况下提高安全评级的能力。
  • 保密: 在受挑战评级或争议过程中向UPGUARD披露的任何信息适当地保护。我们也没有提供有关可能导致系统妥协的额定组织的敏感或机密信息的第三方。

第三方风险管理(TPRM)由Upguard

Upguard将第三方风险管理(TPRM)与供应商数据泄漏检测结合起来,以降低数据泄露的风险,并提高网络安全缩放举措的效率。

点击这里 今天免费试用Upguard!

自由

upguard.  logo in white
upguard.  free resources available for download
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
upguard.  logo in white
电子书,报告& Whitepapers
upguard.  free resources available for download
upguard.  customer support teamupguard.  customer support teamupguard.  customer support team

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 02:03:36

最近发表