准确评估第三方带来的潜在风险是企业风险管理策略的关键要素。 第三方风险涵盖网络安全威胁、数据隐私问题、合规性问题及运营风险,同时还包括环境、社会与治理(ESG)风险、财务风险及声誉风险。通过针对特定风险特征开展全面的第三方风险评估,贵组织可在供应商合作关系全生命周期中识别并缓解不可接受的风险。
第三方风险评估不仅能帮助贵组织主动识别并降低风险,还能为潜在事件做好准备。此外,开展全面的第三方风险评估可增强客户信任,为监管机构提供合规性佐证,并赋能贵组织在分布式供应链中发现并理解风险。
什么是第三方风险评估?
在供应商风险生命周期中,会持续开展第三方风险评估,以全面评估特定供应商和供货商对组织构成的风险。组织通常在第三方合作关系中的多个阶段进行评估,包括:
-
在初始筛选与采购阶段,需识别并优先考虑风险状况可接受的潜在供应商与供货商。
-
在入职流程中授予敏感系统和数据访问权限之前,作为评估潜在风险的尽职调查环节
-
在合作期间定期进行,以验证服务级别协议的遵守情况、评估合同的执行情况并满足审计要求。
-
在离职流程中,为确保系统访问权限被终止,并按照规定保护或处置数据。
-
在发生安全事件时,需确定违规行为的范围和影响。
第三方风险评估通过问卷形式收集有关第三方安全与隐私控制措施的信息。评估还可能涉及第三方财务运营数据,以及其在环境、社会和治理(ESG)方面的政策。评估过程中识别出的风险通常基于问题严重性、发生概率等因素进行综合评估。 评估结果通常会对照行业或监管框架(如ISO、HIPAA、PCI DSS、英国《现代奴役法》、GDPR、NIST CSF及其他核心法规)中的关键要求进行映射。这有助于组织采取主动措施,识别并缓解与外部合作伙伴协作相关的风险。
为何第三方风险评估至关重要?
近年来,全球商业和供应链因持续的新冠疫情、极端天气、重大网络攻击及其他危机事件遭受严重破坏。这些中断导致众多组织面临运营故障、财务损失及法律挑战。尽管其中许多事件难以避免,但拥有强大第三方风险管理(TPRM)计划的组织往往能够最大限度地减少或缓解其影响。
通过实施稳健的第三方风险评估流程,贵组织能够深化对第三方供应链的认知,并全面评估诸如集中度风险、第四方ESG风险及声誉风险等难以察觉的风险。这不仅增强了危机中的抗风险能力,还能在引入新供应商时,基于对风险的清晰认知做出明智的商业决策。
第三方风险有哪些不同类别?
在与第三方合作时,需考虑三类主要风险:针对性风险、固有风险和残余风险。这些风险类型决定了评估流程的深度层次,并根据供应商的信息安全和业务实践,指导企业应要求其采取的整改措施。
-
基于外部可观察信息(如地理位置、所属行业、第四方使用情况、所有权或基本ESG政策)评估的第三方风险,指 该第三方对贵组织构成的风险 。在第三方风险评估过程中,若第三方在政治地缘不稳定地区开展业务,或自身依赖多个第三方机构,则应予以额外审查。
-
固有风险是指第三方基于其内部控制和业务实践所带来的风险。例如,某组织在访问您的客户数据时,若已通过第三方审计并验证其符合《通用数据保护条例》(GDPR)要求,其固有风险评分可能低于未建立正式信息安全或数据隐私计划的组织。
-
残余风险是指 供应商在实施贵组织要求或采取适当补偿性控制措施后仍存在的风险水平。当组织接受与第三方相关的剩余风险时,残余风险有时也被称为"可接受风险"。
在评估和管理第三方时,必须考虑这三类风险,以有效识别、减轻和管控其可能对贵组织造成的潜在危害。
如何评估第三方风险?
评估第三方风险涉及 计算风险评分,该评分需 综合考虑事件发生的概率及其潜在影响。例如,某供应商为医院提供服务并处理大量受保护的健康信息(PHI),却未遵守《健康保险携带与责任法案》(HIPAA)的规定。
在此情况下,供应商将被归类为业务合作伙伴,并需遵守与医疗保健提供者相同的监管要求。该情形将产生重大影响,可能导致医疗保健提供者与业务合作伙伴均面临罚款。监管机构发现违规行为的可能性也很高。这对任何医疗保健机构都构成不可接受的风险,很可能导致合同终止。
此案例凸显了开展全面第三方风险评估的重要性,尤其对于处理大量敏感数据的组织而言,例如政府承包商和医疗保健提供者。在许多情况下,诸如《健康保险流通与责任法案》(HIPAA)等法规要求主要组织对其供应商的违规行为承担责任,因此组织必须妥善评估并缓解与第三方关系相关的风险。
第三方风险评估步骤
1.召集内部利益相关者
最成功的第三方风险评估计划需吸纳利益相关方的意见和/或参与,这些相关方代表着具有不同优先级的 多重角色。理解这些优先级有助于优化评估流程,确保关键步骤不被遗漏或忽视。通过组建跨职能团队来规划和指导评估计划,可有效促进组织层面的采纳并确保长期成效。
2.确定可接受的残余风险水平
必须认识到,即使付出最大努力,与第三方合作时仍会存在一定程度的风险。在评估潜在合作伙伴之前,您需要明确组织可接受的风险水平。这将有助于提高供应商选择和风险管理的效率与一致性。该方法还能帮助您快速识别那些可能与您的业务目标和风险承受能力不符的第三方。
3. 建立第三方风险评估流程
要有效管理第三方风险,建立标准化流程至关重要。然而,风险评估流程可能因第三方性质而异,需考量其对供应链的关键程度、接触敏感数据的权限以及受业务连续性事件影响的脆弱性。例如,关键性高且潜在风险大的第三方,其尽职调查要求应比低风险方更为严格。 结构化的流程能提升项目运作效率,并助力企业基于风险评估做出更优的第三方合作决策。
从内部分析和分层评估开始,有助于对供应商进行分类,并规划出每组所需评估的类型、范围和频率。
4. 发送第三方风险评估问卷
为有效管理第三方风险,收集供应商内部控制信息至关重要。其中一种方式是发送 问卷调查。这些问卷可涵盖广泛主题,例如信息安全实践、合规要求、财务稳定性,以及第四方乃至 第N方的供应商数据。
在选择用于初级风险评估的问卷时,企业必须决定采用行业标准问卷还是自行设计。标准化问卷如标准信息收集(SIG)问卷、医疗保健机构的H-ISAC问卷以及主流合规框架(PCF)问卷,已被广泛接受且为大多数供应商所熟悉。 但若第三方已持有信息安全认证(如 CMMC或SOC 2),则可免除评估要求直接采纳。此外,企业可通过专有评估和/或临时性评估进行补充,以收集网络安全领域之外的特定控制措施或潜在风险信息。
另一种选择是在设计供应商评估问卷时采用框架体系。诸如NIST网络安全框架、ISO 27001和NIST 800-30等框架体系,有助于确保问卷在整个供应链中保持标准化,并体现最佳实践。此外,若涉及《通用数据保护条例》(GDPR)或《支付卡行业数据安全标准》(PCI-DSS)等特定法规,将相关标准的具体问题直接纳入评估体系可能更为有利。
5.通过持续的风险监控对评估进行补充
网络安全漏洞、供应链挑战和合规要求持续演变。因此,需实施 持续风险监控,以捕捉定期供应商评估间隙中出现的任何网络、业务、财务或声誉风险。您还可利用风险数据验证第三方评估反馈是否与实际业务活动相符。
供应商数据泄露、凭证外泄及其他网络风险
在当今不断演变的网络安全环境中,企业必须主动监控供应商生态系统中的外部网络安全风险,而非采取一次性评估供应商风险的做法。需重点关注的潜在风险包括:
-
凭证泄露
-
已确认的数据泄露和安全事件
-
配置错误的Web应用程序与漏洞
-
域名抢注及其他品牌威胁。
有关识别这些及其他风险的更多信息,请参阅我们关于网络供应链风险管理(C-SCRM)最佳实践的文章。
第三方财务状况、商业行为及声誉
除网络安全风险外,监控供应商的财务稳定性、商业行为及声誉至关重要。财务崩溃、运营中断或负面新闻都可能对贵公司业务及环境、社会和治理(ESG)挑战产生重大影响,例如现代奴役、贿赂/腐败及消费者保护问题。为降低这些风险,需深入调查供应商的商业行为、原材料采购及其他可能引发声誉或道德问题的关键流程。 此外,应要求提供客户及合作伙伴的参考信息,以深入了解第三方履行服务水平协议(SLA)及其他合同义务的能力。
选择监测策略
构建监控计划时,制定全面高效的策略至关重要。许多企业借助供应商的自动化威胁监控软件进行风险识别和评分,这有助于组织高效地从各类来源(如开源情报)收集情报。
6.对风险进行分类和补救
评估第三方风险时,必须将其划分为可接受或不可接受两类。不可接受的风险必须在与供应商合作前予以解决。风险整改可采取多种形式,例如要求供应商提供SOC 2等安全认证、终止与第四方及N方供应商的合作关系,或调整可能导致供应链或其他中断的业务实践。
制定明确的事件响应策略对于应对供应商引发的数据泄露或其他干扰事件至关重要。通过预先制定的计划,您能够显著缩短响应时间,最大限度地降低对组织的影响。
如何启动第三方风险评估计划
许多公司在启动评估项目时,常犯将电子邮件与电子表格结合使用的错误。这种手动操作方式不仅耗时费力,管理起来也颇具挑战性——尤其在与众多供应商合作时。此类方法往往导致数据有限且不可靠。
要建立有效的供应商评估体系,可考虑采用供应商情报网络,该网络提供基于标准化评估数据的供应商风险报告库。另一种选择是采用自动化第三方风险评估解决方案,该方案能实现更高的定制化程度,并增强对评估流程的掌控力。若更倾向于免去操作环节,也可委托管理服务提供商代为执行评估工作。
下一步工作
Prevalent提供第三方风险评估解决方案及服务,作为我们全面的第三方风险管理平台的重要组成部分。如需与Prevalent专家探讨您的具体需求,请立即申请个性化演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
