作为 ,当您目睹各国政府为诊断和遏制冠状病毒而采取的全球行动时,您或许也在思考:若疫情演变为真正的全球大流行,自身准备是否充分?鉴于该病毒源自中国,且众多跨国企业的供应链部分环节依赖中国,自然需要开始考量集中风险如何影响您的整体风险管理与事件响应计划。 本文将阐释集中风险的定义,并探讨一种前瞻性的事件响应意识流程——旨在确保企业在运营中断期间维持稳定与韧性。
在第三方背景下,什么是集中风险?
集中风险起源于银行业,后被应用于多个领域,指因单一行业、地域或合作伙伴导致的组织供应链风险水平。该风险源于供应商组合缺乏多样化。
什么是事件响应计划?
事件响应计划包含一套预先制定的行动清单,其中列明了当发生可能影响业务的事件或事故时(例如影响数据中心的自然灾害,或导致网站瘫痪的DDoS攻击),需按顺序执行的任务、完成的工作以及需要联系的责任人。 通过简单谷歌搜索即可获取大量事件响应计划范例;建议您审视现有响应计划,对照行业最佳实践案例进行比对,并开展第三方关联事件响应场景测试。
什么是韧性?
韧性被定义为"从困境中快速恢复的能力",重点在于"快速"。就供应链而言,韧性是指组织在遭遇突发状况时能够迅速调整应对,同时将负面影响控制在最小范围(例如将生产转移至备用或次级数据中心或设施)。韧性应成为您事件响应计划的核心驱动力。
一个积极主动且成熟的事件响应计划应具备哪些特征
针对第三方风险,主动事件响应计划包含五个步骤:
- 漏洞通知——识别漏洞或安全事件,并向预先设定的相关方名单发送通知
- 事件响应——制定一套标准任务及时间要求,用于评估事件影响并制定响应与修复时间表
- 识别第三方影响——调查供应商、合作伙伴、供应商或其他第三方引发事件的根源
- 定期高管报告——标准化报告,展示目标状态的初始值与最终值,并通过可量化的指标呈现向预期终态推进的进度。
- 风险管控直至终止——回归可接受状态(或新常态)
事件响应计划的成熟度可分为以下三个级别之一:
一级 – 手动
在一级成熟事件响应计划中:
- 当发现事件时,邮件将发送给第三方。
- 第三方通过电子邮件作出回应,说明风险影响及缓解措施的时间表。
- 信息通过电子表格进行手动追踪
- 报告需手动生成以供管理层查阅
如此大量的手动操作,很快就能看出这种流程的缺陷;我们深知手动操作难免出错,而错误则会带来风险——错过关键要素的风险,这些要素本可用于诊断和解决事件。
第二级——自动化与人工交互
在二级成熟事件响应计划中:
- 基于风险的分类嵌入在第三方存储库中
- 基于门户的事件通知和风险响应请求已发送至相关第三方。
- 基于门户的风险响应由第三方直接更新
- 基于门户的追踪与报告系统用于向高管层提供更新信息
二级成熟事件响应计划通过集中化处理,将一级计划固有的手动工作整合到特定系统中,该系统由若干流程所限定。
第三层级——数据驱动模型
三级成熟事件响应计划具有以下特征:
- 事件发生时,监控工具会主动向企业生成风险意识通知,其中包含影响范围和风险评分。
- 第三方可访问该系统,因此对风险意识和风险缓解措施的追踪具有普遍可见性,并支持实时更新。
- 每次状态发生变更时,所有相关方都会通过预设的工作流流程自动收到通知(包括其移动设备)。
- 高管报告已实现自动化
第三方风险管理解决方案如何提供帮助
Prevalent可协助组织通过评估来衡量第三方事件响应计划的有效性,这些评估旨在揭示其成熟度水平,同时通过标准评估审查现有的内部补偿性控制措施,以防止事件迅速失控。 这种可见性在您与第三方之间实现全面共享,确保完全透明。作为评估的补充,
提供融合技术、数据分析与分析师洞察的网络安全及业务监控服务,可评估新闻事件、公关应对等业务风险。
此外,Prevalent平台具备业内独有的关系映射功能,可识别贵组织与第三方之间的关联关系,从而发现依赖性并可视化信息路径。这使您能够审核组织的故障转移和弹性计划,从而限制集中风险的影响。
综合来看,这些解决方案为理解您的集中风险范围以及您与供应商的事件响应计划奠定了坚实基础,从而确保业务韧性和敏捷性。
准备好迈出下一步了吗?
立即联系Prevalent,获取免费的一小时成熟度评估服务。 我们将为您 识别当前实践中可改进的领域,从而 降低风险。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
