博客
什么是供应商风险管理:VRM的最终指南
摘要形状摘要形状

供应商风险管理(VRM)处理管理和监测因素 第三方供应商 和信息技术(IT)产品和服务的供应商。 VRM计划涉及确保第三方产品,IT供应商和服务提供商不会导致业务中断或财务和声誉损害。

供应商风险管理计划有全面的计划,用于确定和减轻业务不确定性,法律责任和声誉损害。

由于企业增加了外包,VRM和 第三方风险 管理层成为任何企业风险管理框架的越来越重要的部分。组织将更多的业务流程委托给第三方和业务合作伙伴,因此他们可以专注于他们所做的事情。这意味着他们必须确保第三方正在管理 信息安全, 数据安全 and 网络安全 well. The risk of 网络攻击 and 数据违规 必须识别和减轻第三方供应商。 

虽然外包具有很大的利益,但如果供应商缺乏强大的安全控制,您的组织面临着运营,监管,财务和声誉风险。供应商管理层专注于识别和减轻这些风险。

在本文中,我们涵盖了识别的最佳方式 供应商风险 以及如何预防和减轻这些风险。

什么是供应商关系管理?

在评估供应商时,它'重要的是要了解供应商如何适合组织的整体背景'S项目和目标。第三方关系可以从一个小小的一次性项目与独立承包商与持续的跨国公司的持续供应商关系。公共供应商方案包括:

  • 原始设备制造商(OEM)销售您的组织需要的东西,如印刷电路板(PCB)到计算机制造商。
  • 营销自由职业者在一次性或正在进行的基础上向贵公司销售她的服务(导致持续的供应商关系)。
  • 一系列软件 - 服务(SaaS)提供商将软件销售给您的组织一段时间。

供应商关系管理专注于监督与供应商的关系,从尽职调查 网络安全风险评估 通过将良好或服务的交付到规划业务连续性。监督供应商关系的人通常被称为供应商经理。供应商管理人员可以从人力资源到供应链的组织的任何部分。

供应商风险管理是组织的重要组成部分's 信息风险管理 和整体风险管理过程。供应商构成许多风险,包括财务,声誉,合规性,法律和监管风险。

这就是它的原因'符合您组织的最佳利益,以便在供应商关系结束之前,期间和之后管理其供应商风险。

阅读更多关于为什么供应商风险管理很重要.

什么是供应商风险管理计划?

供应商风险管理计划是一个组织广告,概述了公司和潜在供应商将达成一致的行为,访问和服务水平。

该文件应概述关键供应商信息,对组织和第三方有价值。它应该概述您的组织测试和获得供应商性能的保证。它应该概述供应商如何确保您的组织'S的法规遵从性,而不是在安全中公开客户数据 违规

根据所提供的供应商和服务,可以逐步拼写这些关系 清单 或以更随意的方式。

为了使供应商风险管理计划有用,您的组织必须了解供应商风险评估过程,并愿意与您的合规性,内部审计,人力资源和法律团队合作,以确保供应商风险管理计划进行每个新的和现有供应商。

什么是第三方供应商?

第三方供应商几乎是任何向您的组织提供产品或服务的人,他们在您的组织不起作用。常见的第三方包括:

  • 制造商和供应商(来自PCB到杂货的一切)
  • 服务提供商,包括清洁剂,纸质粉碎,顾问和顾问
  • 短期和长期承包商。它'重要的是您需要管理短期和长期承包商到相同的标准,并评估他们可以访问的信息。
  • 任何外部工作人员。它'了解对此的理解很重要 网络风险 可以根据外部员工广泛不同。
  • 任何长度的合同都可能对您的组织构成风险,内部收入服务(IRS)有关于供应商和第三方关系的规定,这些条例超出特定时间框架,即使合同的长度也可能构成风险。在美国国税局'S眼睛,一位在现场工作的供应商,用于公司电子邮件地址超过特定时间段,应被归类为员工并获得福利。

什么是供应商生命周期管理?

供应商关系的一般生命周期如下: 

  1. 定义和确定需求
  2. 创造 供应商评估 for all vendors
  3. 搜索供应商并发送出价
  4. 选择供应商
  5. 定义合同条款和时间框架
  6. 监控关系和性能
  7. 合同结束,关系或更新

对于高风险供应商,可以跳过步骤,甚至可能会提前终止合同。

为什么需要管理您的供应商风险

当他们参与第三方时,公司面临着一系列风险。代表您处理机密,敏感,专有或分类信息的供应商特别危险。如果您的第三方供应商安全实践差,他们可能会带来巨大的风险,无论您的内部安全控制如何好如何。

近视专注于性能,质量标准,KPI和SLA等操作风险因素是不够的。越来越多地,来自第三方供应商的最大风险是数据泄露等声誉和金融风险。

这里'供应商可以姿势的风险示例:

  1. 法律或合规违规行为,特别是如果您在政府,金融服务或军事承包商工作
  2. 违反需要的健康保险和责任法案(HIPAA) 受保护的健康信息(PHI) 正确安全
  3. 法律问题,如诉讼,班级行动,工作丧失或关系终止
  4. 信息安全 和数据安全风险。您需要知道供应商应该可以访问的信息和可以访问多少信息。 
  5. 丧失知识产权。如果供应商可以访问专有信息,则会出现风险,他们为自己窃取它或通过数据违规公开
  6. 与长期供应商的放宽限制可能是一个很大的风险'对于第一天的控制,控制的控制变得非常重要

降低风险的一个关键方法是仅向供应商提供所需的数据,而且没有更多。

也就是说,为了真正减少风险组织需要制定整体风险管理策略,意味着不断衡量和评估供应商。它'没有足够拥有拥有供应商的主题专家。数据漏洞可以来自组织的任何部分。 

没有组织广泛的实践,部门可以选择自己 指标 衡量和临近能够应对的风险管理的要求。  

供应商风险管理有哪些好处?

良好的供应商风险管理计划将确保:

  • 解决未来的风险需要更少的时间和更少的资源
  • 公司和供应商的问责制
  • 您的服务质量不是't damaged
  • 尽可能减少成本
  • 您的服务的可用性是改进
  • 您可以专注于您的核心业务功能
  • 运营和财务效率是安全的
  • 只要每次计划都会减少风险

即使您的组织具有高风险容忍度,诸如此类规定 Sarbanes-Oxley法案(SOX),支付卡行业数据安全标准(PCI DSS)和健康信息的便携性和问责法(HIPAA)授权风险管理政策延伸至第三方供应商,外汇人员,承包商和顾问。 

您如何创建有效的供应商风险或第三方风险管理框架?

创造一个有效的 第三方风险管理框架,您需要对所有供应商申请相同的标准,适用于他们提供的产品或服务类型。

你应该:

  • 认识并概述所有挑战。在云计算时代,a 配置不良S3 BuckeT可以像复杂的攻击者那样大威胁。确保您的第三方供应商正在检查他们的 S3权限或其他东西会。您可能对您的供应商数据泄露负责。引入GDPR意味着在欧盟中运行的业务必须提供数据漏洞通知,指定数据保护官员,要求用户同意数据处理和隐私数据的匿名数据。 
  • 确保整个组织是船上的,无需完全符合您赢得的供应商管理框架'尽可能成功。
  • 确保您的合同有"right to audit"以及供应商到位的安全控制和要求。 
  • 概述如何发生监控,当发生审查和反馈时如何发生监控以及如何确定和减轻风险曝光程度。

阅读我们的指南有关如何选择一个 第三方风险管理框架.

什么是供应商风险管理成熟度模型(VRMMM)?

供应商风险管理成熟度模型(VRMMM)是评估第三方风险管理计划的成熟度的整体工具,包括网络安全,信息技术,数据安全和业务弹性控制。 

VRMMM允许组织在构建程序之前开发一个策略,并识别将设置到哪个目标以及如何使程序变得强大。

任何VRMMM必须有两个重要的部分:

  1. 一种识别和评估需求和潜在风险的方法
  2. 一种方法来衡量整体风险管理框架组件成熟度的相对发展,例如确定每个部门如何管理风险,需要移动资源以及如何进行改进

供应商风险管理成熟度水平是多少?

有六个级别的供应商风险管理成熟度模型:

  1. 启动或没有第三方风险管理: 新组织开始运营或组织,没有现有的供应商风险管理活动。
  2. 初始愿景和临时活动: 第三方风险管理活动在特设基础上进行,并考虑如何最佳结构第三方风险活动。
  3. 批准的路线图和临时活动: 管理层已批准将活动的计划作为实现全面实施的努力的一部分。
  4. 定义和建立: 拥有完全界定,批准和建立风险管理活动的组织,其中活动不完全通过指标和执法缺乏。
  5. 完全实施和操作: 供应商风险管理活动的组织以合规措施全面运作,包括报告和独立监督。
  6. 连续的提高: 通过清楚地了解卓越的卓越性绩效水平以及如何实施计划变更,以不断改进该过程的组织。

了解您的组织'S供应商风险管理到期水平是了解如何最佳管理供应商风险以及您可以在哪里改进的关键部分。

如何创建第三方或供应商风险管理清单

当您的组织正准备雇用或船上新供应商时,您需要通过尽职调查清单来确保它们适合。这也被称为供应商评估。

供应商评估的关键部分如下:

  1. 询问供应商的参考's other clients
  2. 确定供应商在经济上溶剂,您可能需要申请财务报表
  3. 验证他们有责任保险
  4. 如果您在具有监管要求的行业中运营,请验证他们是否具有正确的许可和培训,例如HIPAA培训,安全许可或财务许可证提供服务
  5. 进行背景和刑事检查
  6. 评估供应商是否能够满足您所需的服务水平
  7. 确定供应商是否具有适当的安全控制,技术和专业知识,以适当管理您的 敏感信息
  8. 审查合同,包括条款,续订,所需的服务水平和终止要求

阅读我们在此处使用供应商风险管理清单的完整指南.

您也可以查看软件 自动化您的供应商评估问卷.

供应商风险管理最佳实践

供应商风险管理的最佳实践 are to:

  1. 借用所有第三方供应商的库存,您的组织与其有关系
  2. 目录 网络安全风险 交易对手可以将您的组织暴露给
  3. 通过潜在风险评估和分段供应商,并减轻组织高于您组织的风险's risk appetite
  4. 制定基于规则的系统,以评估未来的供应商,并通过审查数据安全和独立评论,确定任何未来第三方的质量的最低可接受的障碍
  5. 建立 供应商风险 管理层和所有其他第三方风险管理实践
  6. 定义三行防线,包括领导,供应商管理和内部审计
  7. 第一行防御 - 拥有和管理风险的功能
  8. 第二行防御 - 监督或专注于风险管理和合规性的功能
  9. 第三行防御线 - 提供独立保证的功能,高于所有内部审计
  10. 建立第三方被视为低于质量的应急计划或 数据泄露 occurs

请记住,如果您不愿意,没有必要具有最佳实践't遵循协议。供应商的违规者几乎总是由于未能执行已经存在的规则和协议而造成的。您和您的供应商需要透明地透明地互相期待以及提出了哪些风险。 

阅读更多关于供应商风险管理的有关此处的最佳实践。

如何解决供应商违规行为

It'S不再简单,以确保您的组织'S系统和企业网络存在是安全的。您的风险管理计划必须解决第三个甚至 第四方风险

您的供应商可以是网络罪犯或意外的目标 泄漏 配置差的机密信息。计划延迟,未能履行合同,过度预算和割草角可以造成金融和声誉的损害,即使您的组织不存在。

通过使用和遵循供应商风险管理框架,如果发生供应商破坏,您的组织将能够快速行动并遵循协议。这可以包括您的供应商支付财务损害终止合同的任何东西。 

如何自动化供应商风险管理

软件可以提高供应商风险管理的大量部分。软件不仅可以降低成本和运营开销,它也可以帮助您更快地识别风险。 

传统风险管理技术喜欢 安全问卷 或者 渗透测试 有长期的转变时间,往往抑制你获得数字供应链的全面观点的能力's security posture. 

这种延迟大大增加了风险曝光,并且还可以通过推迟新供应商或服务提供商的船上损害业务结果。 

考虑投资可以帮助加快组织的软件'■全面评估供应商信息的能力。工具喜欢 upguard供应商风险 provide 网络安全评级 即时展示一个组织'S随着时间的推移量化的安全性能。

了解更多信息 如何自动化供应商风险管理,阅读我们的完整指南.

Upguard如何帮助您管理您的供应商风险

从发送安全问卷到收集数据,尽职调查可以是劳动密集型的。为了最大限度地减少管理第三方关系所花费的管理时间的量,请考虑一个自动执行该过程的工具。

Upguard可以帮助您简化第三方风险管理过程 随着时间的推移,自动监控供应商的安全性能并将其与行业进行基准

每个供应商的评分为超过50个提供每日的标准 网络安全评级。我们可以自动发送 供应商安全问卷 为了帮助您获得更深入的洞察力,提高您的保险和缩放安全团队。

我们也 持续扫描并发现数据风险和泄漏凭据 与您的业务的任何部分有关,预防声誉和监管危害。 

今天预订演示.

免费电子书

理解和解决供应商风险

了解像中间人攻击,网络钓鱼,域名劫持,恶意软件和内在人威胁等常见攻击。
白色upguard徽标
理解和解决供应商风险
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 02:48:22

最近发表