本文列举了第三方网络风险管理的“七大罪”。正是这些行为给企业带来了巨大的风险。死罪:认为风险可以外包许多企业认为,因使用第三方产品或服务而产生的网络风险应由供应商管理和承担,这是绝对错误的。监管机构已经明确表示,您可以外包系统和服务,但不能外包风险。2008年,FDIC对供应商风险管理的定义如下:机构的董事会和高级领导层应负责管理通过第三方开展的活动,并识别和控制由此产生的风险。美国卫生与公共服务部、欧盟和美国货币监理署等监管机构也发布了类似的指南。即使您在与供应商的合同中有数据泄露条款,并且在发生安全事件时可能会提供一些补偿,但财务并不是唯一的风险。来自监管机构的罚款、企业声誉的损失、市值的蒸发,更是可怕。死罪之二:在与第三方的合同中没有必要的安全条款,在第三方合同中没有信息安全条款,建议至少包括:第三方审计权;数据泄露通知;解决已识别漏洞的补救要求。如果企业在解决第三方风险问题时没有审计权,就无法有效实施风险评估。如果不要求补救,也可能无法解决已识别的风险。在与第三方签订的服务协议中使用经法律批准的标准化信息安全附录,可确保公司了解和追索保护其客户、资产和声誉所需的纠正措施。即使您的组织目前没有积极管理供应商风险,您也需要将您想要的风险要求写入合同。这样做实际上会给供应商带来一些最大的安全需求负担,并提供一个机会来评估他们未来的安全性。第三宗罪:认为第三方风险管理与业务无关业务运行在内部人员和第三方管理的复杂系统上,第三方网络风险管理就是业务风险管理。这也是我们的初衷。在实施风险管理的过程中,技术与业务的协同必不可少:根据企业的信息安全标准建立供应商绩效考核;了解每个供应商关系的业务负责人;定期向每个业务负责人报告供应链供应商风险绩效,并要求每个供应商做出足够的响应以满足绩效。实现良好的第三方风险结果还需要业务支持“升级路径”,通过它我们可以清楚地看到哪些供应商有什么问题,表现不佳的供应商被置于“如果问题不及时解决,最终将列入“禁止”名单,鼓励供应商做好风险管理。第四宗罪:不知道你的供应商是谁在进行供应商网络风险管理时,你只能管理已知供应商的风险。您拥有的供应商名单越长,您可以管理的供应商就越多,您的风险就越小。对于新的供应商风险管理项目,建议分阶段覆盖供应商。您可以从最近才开始合作的供应商开始,而不是试图一次包括所有供应商。现有供应商可通过续约逐步覆盖。这使得风险管理计划更容易推出,新供应商最有动力遵循您的风险管理流程,因为他们想赢得您的业务。这可能需要数年时间,通过管理新供应商和现有供应商的合同续签,您将涵盖绝大多数供应商。下一个挑战是找到那些“隐藏”的供应商。可以通过企业内部的合作来寻找供应商:比如每月查看应付账款数据和供应商风险管理数据,没有出现在风险管理数据库中的供应商将被识别出来。第五宗罪:信任,不验证“信任,但验证”的原则在管理第三方网络风险时非常适用。过去,供应商通常以高分通过问卷调查。你可以去看看现有的供应商调查问卷,似乎所有的积极因素都会得到肯定,而且似乎所有的安全控制措施都得到了正确的实施。我们能否从这些积极的论证中得出当前风险较小、可控的结论?良好的风险管理需要准确、全面地识别风险。供应商的安全认证可以帮助您了解他们为实现良好的风险结果而进行的投资,但这只是所需信息的一半。第六宗罪:未评估第三方风险管理项目的效果根据2017年对企业第三方风险管理实践的研究,只有37%的企业在实施某些措施后会进行第三方风险管理。效果评价。这是令人惊讶的,就像一家盈利的企业不向投资者报告其财务业绩一样。长此以往,第三方风控的价值无法彰显,第三方风控将成为监管者需要的一个复选框,只是表面现象。目前,企业的第三方风险管理报告通常包括:供应商对固有风险评估的评级供应商分类评级(基于固有风险,如“满意”、“需要改进”、“不可接受”)敏感数据风险、交易风险、声誉风险、操作风险等维度固有风险的类型和得分已按程序和规范审查的供应商百分比缺乏最重要的管理效果评估,适当的指标可以加强企业文化管理第三方风险。这种文化对第三方的影响可以给业务更好的支持。同时,也可以提高供应商响应的积极性。提高风险管理的有效性,在某些情况下为企业接受一定风险做好充分准备。第七宗罪:将供应商风险管理限于定期评估仅通过定期评估来管理供应商网络风险是不够的。即使每年进行一两次评估,评估之间也会发生很多事情。例如,供应商数据泄露可能会在不知不觉中危及您的数据,并可能因延迟数据泄露通知而招致监管机构的处罚(GDPR对数据泄露通知的要求:组织必须在72小时内立即通知监管机构。并且,如果泄露将带来人身风险的,也应及时通知当事人)。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
