博客
如何选择第三方风险管理框架

如何选择第三方风险管理框架

摘要形状摘要形状

对于许多企业,全球 第三方供应商 已成为战略优势和业务价值的重要来源。然而,外包并非没有风险。由于对第三方的依赖继续增长,因此监管行动和发出声誉损害的标题故事的数量也是如此 第三方违规 or failure.

那些驾驶组织需要重新考虑它们的方式 方法,识别和管理第三方风险.

由于与外国和国内第三方的关系的监管重点和复杂性增加,美国金融服务组织必须强烈关注第三方风险管理。在美国之外,澳大利亚等国家在金融服务中有强烈关注第三和第四党供应商管理层 APRA.'审慎标准 , 也。

第三方提供商可以为您的组织提供巨大的战略优势,并通过专注于他们所做的事情和外包休息,最佳企业利用供应商来利用供应商。但是这些相同的第三方关系存在 网络安全风险 什么时候不妥善管理。

随着组织的规模和复杂性的增长,管理第三方关系的能力对成功感到难以置信。为了担心它可以创造的风险而努力扩展其第三方生态系统的组织将被能够自信地识别和管理风险的组织中断。

是否'■监管要求,每个组织都应该 减轻数字风险 通过在他们的第三方,甚至第四方,管理计划 安全风险管理流程.

什么是第三方风险管理(TPRM)?

第三方风险管理(TPRM) 是分析和控制与外包与第三方供应商或服务提供商相关的风险的过程。这可能包括访问您的组织'■知识产权,数据,运营,财务,客户信息或其他 敏感信息

这意味着需要尽职调查来确定第三方对给定任务的整体适用性,并增加它们是否可以保证信息安全。 

尽职调查是审查第三方的调查过程,以确定它是否'S适合给定任务。尽职调查是一个正在进行的过程,包括在整个供应商生命周期上进行审查,监测和管理沟通。

任何第三方风险管理计划的目标是降低可能的可能性 es.,昂贵的运营失败,供应商破产并满足监管要求。管理第三方风险并不是什么新的,而是正在采取的风险水平是。

组织现在面临着高调业务失败的威胁等风险,非法的第三方行动归因于本组织,或第三方采取的行动的监管执法。 

为什么我需要一个第三方风险管理框架?

重要组织具有强大的成熟的第三方风险管理计划,包括一个风险的所有方面和生命周期的所有阶段,其中第三方关系可以从初次尽职调查到业务连续性。 

在性能,质量标准,交货时间,kPI和SLA测量等操作风险因素上,近视专注于近视焦点是不够的。越来越多地,资助和金融风险更为重要。如劳动作用, 信息风险管理,财务健康。

还应理解法律和监管要求。如遵守贿赂法规,对全球行业标准的认识,因为它们适用于第三方,以及环境和健康和安全合规性。

高级管理层必须了解他们组织暴露于的高风险 网络安全 attacks and es. 来自他们的组织及其第三方和第四方服务提供商。无论您的组织如何 'S危险性概况,建立第三方风险管理进程是内部审计和降低风险暴露的关键部分。 

这  风险评估 过程应该是您组织的一部分'■内部控制,包括供应链和其他第三方风险评估。

第三方包括您的供应商,供应商,业务渠道,营销合作伙伴,工资供应商以及如果违反,可能会导致财务,监管遵守或声誉损害的其他任何内容。 

阅读更多关于为什么第三方风险管理很重要 .

如何选择第三方风险管理框架?

你选择的 第三方风险管理框架 应该基于您的组织'■监管要求,可接受的风险水平,使用第三方,业务流程,合资企业,合规性要求和整体企业风险管理策略。 

组织现在正在直接在其供应链中利用第三方,以及销售,分销和支持等辅助服务。越来越多的技术使用,如云和基于云的应用,进一步加速了外包和增加了相关风险的趋势。

此外,第三方执行的任务的价值正在增加,增加了第三方供应商中断或失败的影响。 

第三方风险是董事会议程的特征,其中议员/董事会级责任在许多组织中,特别是那些在受监管环境中运营的组织。对第三方地点的访问越来越普遍,可以获得第三方管理层保证。 

随着企业变得更加分散,越来越需要一致的第三方治理框架。一流的组织正在广泛利用第三方,同时有效地管理相关的风险。

我的业务是对第三方违规行为的责任吗?

如果您在金融服务行业工作,那么短暂的答案是肯定的。

在美国, 货币的审计员办公室 (OCC) wrote in its 风险管理指导

银行使用第三方并未削弱其董事会和高级管理层的责任,以确保活动以安全和合理的方式进行,并符合适用的法律。

随着OCC, 联邦储备体系 (FRS) and the 联邦存款保险公司 (FDIC)有法定权限监督第三方服务提供商与受监管金融机构的合同协议。 

在里面  技术服务提供商的监督小册子 来自FFIEC,它强调了使用第三方提供商"不会削弱......董事会和管理委员会的责任,以确保活动以安全而合理的方式,并遵守适用的法律法规,就好像机构正在进行内部活动一样。"

如果你'在澳大利亚并由APRA监管,阅读我们的帖子 APRA. CPS 234:信息安全审慎标准.

如果我们不在金融服务,我的组织是否对第三方违规行为负责?

即使你'在美国以外,而不是金融服务提供商,如果您在美国有办公室或客户,您仍然可以承担责任  第三方  providers.

2014年12月,一家非美国总部跨国公司及铁路运输均缴纳7.72亿美元,违反了外国腐败实践法案(FCPA)。这主要是由于第三方的不适当行为,以及对该第三方的恰当的尽职调查和企业控制。

请记住,即使您的业务对第三方违规或失败没有财务或监管责任,它们仍然可以做出巨大的声誉损害,导致财务流失,更重要的是, 损失客户信任和数据.

第三方风险管理框架的最佳实践是什么?

这俩 国家标准与技术研究院 (nist)和 国际标准化组织 (ISO)具有流行的风险管理框架,可在任何第三方风险管理计划的评估过程中一起使用。  

一般来说,任何风险管理框架的最佳实践都是:

  1. 借用所有第三方供应商的库存,您的组织与其有关系
  2. 目录  网络安全风险 交易对手可以将您的组织暴露给
  3. 通过潜在风险评估和分段供应商,并减轻组织高于您组织的风险's risk appetite
  4. 制定基于规则的系统,以评估未来的供应商,并通过审查实时地确定任何未来第三方的质量的最低可接受的障碍 数据安全 和独立的评论
  5. 建立 供应商风险管理 以及所有其他第三方风险管理实践
  6. 定义三行防线,包括领导,供应商管理和内部审计
  7. 第一行防御 - 拥有和管理风险的功能
  8. 第二行防御 - 监督或专注于风险管理和合规性的功能
  9. 第三行防御线 - 提供独立保证的功能,高于所有内部审计
  10. 建立第三方被视为低于质量的应急计划或 数据泄露 occurs

建立第三方风险管理框架是指您组织的财务和声誉损害将最大限度地减少第三方数据漏洞。数据泄露可能对您的巨大影响 顾客 , 雇员 您组织在市场上的立场.

适当管理网络安全降低了风险管理的影响和成本,而不会影响整体生产力和船上第三方的能力。

第三方风险管理框架为您的组织提供了共享的决策标准,最大限度地减少管理第三方供应商风险所需的麻烦和时间。最终拯救您的组织资金,更重要的是,它与客户的声誉和关系。

阅读我们关于供应商风险管理最佳实践的指南。

Upguard如何帮助您减少第三方供应商风险

管理第三方关系可能是一项重要任务。因此,许多组织选择使用使用初始和第三方数据来监控网络安全风险并提高组织的整体安全姿势的智能工具。

upguard客户自动 监控他们的供应商安全性能 随着时间的推移,并将它们基准与行业相结合。 

每个供应商的评分为超过50个提供日常网络安全评级的标准。我们可以自动发送 供应商安全问卷 为了帮助您获得更深入的洞察力,提高您的保险和缩放安全团队。

我们也  持续扫描并发现数据风险和泄漏凭据 与您的业务的任何部分有关,预防声誉和监管危害。 

保护您的业务免受妥协的供应商, 点击这里 今天预订免费的upguard试用!

免费电子书

理解和解决供应商风险

了解像中间人攻击,网络钓鱼,域名劫持,恶意软件和内在人威胁等常见攻击。
白色upguard徽标
理解和解决供应商风险
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  •  检查图标
    即时洞察力您可以立即采取行动
  •  检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 03:55:58

最近发表