第三方风险管理 (Third Party Risk Management, TPRM) 是分析和最小化与外包给第三方供应商或服务提供商的相关风险的过程。比如包括财务、环境、声誉和安全风险。而存在这些风险的原因是供应商拥有权限访问企业的知识产权、敏感数据和个人身份信息 (PII)等。由于第三方关系对业务运营至关重要,因此第三方风险管理是网络安全策略的重要组成部分。

什么是第三方?

第三方是与企业合作的任何实体。包括供应商、制造商、服务提供商、业务合作伙伴、附属公司、分销商、经销商和代理商。这些第三方企业可以是上游(供应商和供应商)和下游(分销商和经销商)。

第三方和第四方有什么区别?

第三方是直接与企业开展业务的供应商、合作伙伴或其他实体,而第四方是企业的第三方所合作的供应商或服务提供商等。第四方(或“第 N 方”)反映了供应链中更深层次的关系,这些关系不一定与企业通过合同联系,而是通过第三方连接。

为什么第三方风险管理很重要?

第三方风险管理十分关键,因为使用第三方会直接或间接影响企业的网络安全。第三方增加了信息安全的复杂性,原因如下:

第三方通常不受企业的控制,无法完全了解他们的安全控制情况。一些供应商拥有强大的安全标准和良好的风险管理实践,但还有一些供应商的安全策略并不周密和完善。

每个第三方都是数据泄露或网络攻击的潜在攻击媒介。如果供应商具有易受攻击的攻击面,企业使用的此类供应商越多,攻击面就越大,可能面临的潜在漏洞就越多。

数据保护和数据泄露提示(Data breach notification)等相关法律的引入极大地提高了第三方风险管理计划的影响。如果由于第三方导致信息泄露,企业同样也要面临处罚和监管罚款。

第三方会带来哪些风险?

企业在与第三方合作时面临许多潜在风险:

  • 网络安全风险:网络攻击、安全漏洞或其他安全事件导致的信息泄露或经济损失。因此企业需要通过在引入供应商之前的尽职调查过程,以及在整个供应商生命周期中的持续监控来降低风险。

  • 运营风险:第三方可能造成业务运营中断的风险。这需要通过受合同约束的服务级别协议 (Service Level Agreements, SLAs) 以及业务连续性和事件响应计划来管理。根据供应商的重要性,企业可以多选择几家供应商以备用(这种做法在金融服务行业常见)。

  • 法律、监管和合规风险:第三方可能产生法律、法规或协议的风险。这对于金融服务、医疗保健和政府组织及其业务合作伙伴尤为重要。

  • 声誉风险:因第三方而产生负面舆论的风险。由于第三方所提供的服务所产生的不良评价会给企业形象和声誉带来负面影响。

  • 战略风险:企业可能因第三方供应商而无法实现其业务目标。

第三方风险管理怎么展开?

为了更好地管理第三方风险,企业需要构建一个有效的第三方风险管理框架, 同时建立一个强大的第三方风险管理流程,为企业的风险管理提供保障和可靠反馈。

第 1 步:分析

在引入任何第三方之前,首先要确定其可能给企业带来的潜在风险以及所需的尽职调查。目前多数企业选择使用安全评级(security ratings)来确认第三方的外部安全状况是否满足企业要求。

第 2 步:进一步了解

如果供应商的安全评级足够,下一步就是让供应商提供(或完成)安全调查问卷,以深入了解他们的安全控制措施,当然这些信息对外部人员是不可见的。

第 3 步:修复

如果供应商存在安全风险,可能会导致这些供应商在解决相关安全问题之前就失去合作机会。这时如果企业拥有修复工具,可以先尝试修复相关问题再进行下一步评估。

第 4 步:批准

在修复问题之后,企业可以根据自身风险承受能力、供应商的重要性以及相关联的合规要求,来决定是否与供应商合作或是选择寻找其他供应商。

第 5 步:监控

持续监控供应商的安全性十分重要!因为引入的第三方拥有访问企业内部系统、敏感数据和业务流程的权限。这时,企业需要对第三方进行持续安全监控(Continuous Security Monitoring, CSM)。CSM 可以自动进行监控信息安全控制、漏洞和其他网络威胁,以支持企业风险管理决策。

五问五答:第三方风险管理相关推荐

  1. 关于小学生学习编程语言C++的经历经验分享,五问五答

    一晃眼史上最严"禁奥令"的落地实施已超一年半,这或多或少消磨着部分家长报奥数培训班的热情.此消彼长,少儿编程呈现出越来越火的趋势.家长们或出于"跟紧时代发展趋势" ...

  2. 解读:电子合同存证五问五答

    谈到电子合同存证,可能有些朋友还不了解.但事实上,电子合同存证和电子合同法律有效性殊途同归,即:本质上,两者都是在探讨电子合同合法有效性的证明问题. 那么,何谓电子合同存证,为什么要存证,怎么存证?针 ...

  3. 【算法岗求职笔记】降维 · 五问五答

    前言 废话少说,机器学习第七篇 主要整理的是常用降维方法: PCA,LDA 为了能够持续更新和添加新的知识点,以及修改错误,建立了一个repo,欢迎大家来个star或者推荐给需要的朋友: https: ...

  4. DayDayUp:心灵鸡汤之天空飘来五个字~那都不是事(一问一答告诉你什么是高层次的认知)

    DayDayUp:心灵鸡汤之天空飘来五个字~那都不是事(一问一答告诉你什么是高层次的认知) 导读 你对自由的理解是什么? 说"不"的能力. 目录 天空飘来五个字~那都不是事(一) ...

  5. “五问”找钢网交易模式

    <"五问"找钢网交易模式> 伴随着新一轮11亿元融资的正式发布,钢铁行业.B2B行业对找钢网的关注达到空前高度,找钢网的影响力在持续提升.与此同时,关注.研究找钢网的人 ...

  6. 五问Nerf | 简单易懂的神经辐射场入门介绍

    作者 | lcltopismine3 编辑 | 汽车人 原文链接:zhuanlan.zhihu.com/p/597579341 点击下方卡片,关注"自动驾驶之心"公众号 ADAS巨 ...

  7. 找到bug的根源,问五次为什么

    在学习<问题分析与解决>时学到了一种找到问题根源的方法--问五次为什么.具体内容是:当遇到一个问题,不要只看当前答案,要继续往下问,为什么,连问五次,就能够找到更深层次的问题. 最近在复盘 ...

  8. 五问唐骏:泡妞真的如你说的那么容易?

    五问唐骏:泡妞真的如你说的那么容易? 文/代腾飞 "英雄爱美女,美人爱英雄!"千百年来,才子佳人都是人们津津乐道的千古佳话.似乎上天早已注定,美女与英雄注定不可分离,是一对天然的鸳 ...

  9. conan入门(五):conan 交叉编译引用第三方库示例

    conan 交叉编译引用第三方库示例 Conan 是 C 和 C++ 语言的依赖项和包管理器.它是免费和开源的,适用于所有平台(Windows.Linux.OSX.FreeBSD.Solaris 等) ...

最新文章

  1. HTML 基础知识(特殊字符的转义)
  2. 【Java】面试官灵魂拷问:if语句执行完else语句真的不会再执行吗?
  3. XCTF联赛“出海计划”开启,八月新加坡站国际赛蓄势待发
  4. 日记 [2007年04月05日]QMAIL服务器回顾
  5. sqlalchemy1.4风格2.0
  6. 十六进制编码_十六进制色值的那些秘密
  7. 多态性与虚拟函数一个典型的例子第一步
  8. python 字符串格式符
  9. python多个main方法_Python,main方法未运行(同一文件中有多个类)
  10. 如何快速深入理解监控知识? | 技术干货
  11. excel mmult matlab,如何用excle计算矩阵/在EXCEL中如何计算矩阵行列式
  12. win10关闭最佳分辨率通知
  13. R 回归 虚拟变量na_互助问答第92期:虚拟变量问题
  14. 【算法导论-34】红黑树、顺序统计树的Java实现
  15. Python 数据挖掘之中医证型关联规则挖掘
  16. 机械式计算机自制,自制计算机(1):机械计算机原理
  17. OneDrive登录问题
  18. SIGCOMM2022 Starvation in End-to-End Congestion Control
  19. 微信公众账号导航平台
  20. mysql中update子查询,update 子查询使用介绍

热门文章

  1. c语言实现二叉树的递归遍历
  2. jQuery随笔20190713(jQuery HTML、遍历、Ajax)
  3. PHP怎么统计下载次数(下载量代码)
  4. HP 服务器阵列快捷键
  5. 前端开发_HTML5_盒子定位(position)
  6. warning C4996: 'strcpy'解决方法
  7. Linux:公司这么多项目,怎么管
  8. (工具包)之zip与rar解压
  9. WordPress 修改自定义文章类型的固定链接结构
  10. 在Centos7下使用reportlab输出中文到pdf文档