任何网络安全计划的致命弱点在于企业的第三方供应商。为什么?因为管理自身组织的网络安全态势已足够复杂,而确保供应商的安全漏洞不会成为企业自身的安全漏洞,则完全是另一回事。
这就是第三方风险管理(TPRM)发挥作用的地方。TPRM是一套管理机制,旨在将与供应商、供货商或其他业务伙伴开展业务时引入的网络安全、运营及合规风险控制在可接受范围内。
随着企业意识到需要为第三方风险管理(TPRM)计划建立更完善的架构和流程以应对日益增长的第三方网络安全风险,他们常常会提出以下问题:从何处着手?如何评估风险?解决方案中哪些关键能力能帮助我们实现目标?领先的行业分析机构TAG Cyber在其最新报告《基于风险的第三方网络安全风险管理》中给出了答案。
降低第三方网络安全风险的框架
该报告由爱德华·阿莫罗索博士执笔,提出了一个基础性风险框架,涵盖软件漏洞、合规性、欺诈、风险责任、国际要求及复杂性等评估领域。报告进一步识别了各网络风险领域的发生概率与后果,最终构建出第三方安全模型。
TPRM解决方案需求
TAG Cyber报告随后指出了在供应商生命周期各阶段(即风险暴露时段)评估上述各领域网络风险所需的能力。最后,报告探讨了Prevalent解决方案的具体功能——这些功能既契合基础风险模型,又能降低第三方数据泄露的发生概率及后果影响。
后续步骤与关键问题
分析师报告最后为企业采购方提出行动建议,并列出关键问题清单,供其向潜在的TPRM解决方案供应商提出,以判断其方案是否符合TAG Cyber风险模型。
下载《TPRM采购指南》
要全面了解风险框架、所需能力、关键问题以及Prevalent如何提供帮助,请立即下载白皮书。
若需了解Prevalent如何助力贵机构从零开始构建灵活敏捷的TPRM项目,请立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
