在安全与风险管理专业人士心中,鲜有词汇能像"审计"二字般令人心生畏惧。光是读到这个词,便足以令人脊背发凉。当审计范围延伸至第三方供应商时,信息安全审计的挑战性更被放大——这往往需要投入额外的资源与时间。
挑战不仅在于收集证据、识别控制缺口并提交报告所耗费的时间。开展第三方风险审计意味着要在复杂且往往相互重叠的监管环境中穿行。那么,负责第三方风险管理(TPRM)的安全与风险管理团队如何确保供应商遵循健全的风险管理原则,同时避免团队精疲力竭?
克服这一挑战的关键在于识别多个监管与IT安全控制框架中的共同点,并以此为基础开展合规工作。本文概述了常见TPRM要求中五个相互重叠的领域,为组织构建审计与合规工作的坚实基础。
1. 规划:建立符合TPRM合规要求的项目
在众多监管与控制框架中,理解组织面临的第三方风险暴露至关重要。必须重点关注两类第三方:提供关键产品或服务者,以及支撑核心业务流程的软件供应商。许多监管制度要求对供应商关键性进行系统评估,并对第三方软件实施集中管理与监控。
组建跨职能的交易对手风险管理团队
组建由企业各领域代表组成的团队,包括信息技术安全、风险管理、法律、内部审计和采购部门。该团队将负责建立适当的治理机制,指导第三方风险管理(TPRM)计划的实施,并整合所有需要了解第三方信息的团队的需求。
TRPM提示:寻找能为多个团队提供整合风险洞察,并支持按角色定制风险视图和报告的TRPM解决方案。
确定供应商关键性
识别哪些第三方供应商对业务运营至关重要,是供应商风险管理规划的基础。提供关键服务或处理敏感信息的供应商应被列为关键供应商,需对其实施更严格的尽职调查和持续监控。
TRPM提示:开展风险评估与分级工作,以确定固有风险并识别供应商关键性。
集中管理供应商库存
构建一个中央第三方库存系统,使团队能够在整个合作关系生命周期中管理所有供应商。初期阶段,应特别关注与贵组织关联的所有现有第三方软件供应商。随着软件供应链攻击的日益猖獗,保持所有第三方软件的最新库存至关重要。该库存应与您的业务流程及支持这些流程的第三方供应商建立关联。
TPRM 提示:鉴于贵组织很可能已在采用通用控制框架进行 IT 安全报告,建议您使用NIST SP 800-53或ISO 27001 等框架来构建第三方风险评估体系。
2.尽职调查和第三方选择
在制定供应商关键性评估规则并建立现有第三方软件及服务清单后,就该运用完善的尽职调查原则来选择新解决方案了。关键在于选择既能满足需求又符合组织风险特征的解决方案或服务。全面的供应商尽职调查流程能让组织在前期就获取相关供应商信息,并满足多项监管框架中的关键控制要求。
供应商尽职调查流程包含几个简单的步骤:
- 在供应商入职后,通过评估其网络安全和数据隐私实践、业务与运营因素、声誉、合规状况、ESG政策及财务状况来对其进行评估。在入职前进行合同前尽职调查。
- 将风险与控制缺口集中整合至统一的风险登记册中,实现全企业范围的风险可视化。此举将推动供应商整改计划的制定与执行,并促进内部就供应商风险可接受性展开讨论。
- 利用规划阶段创建的中央第三方库存,高效管理关系生命周期。包含供应商公司数据、财务信息和位置等属性。
TPRM提示: 执行监管要求的尽职调查旨在 缓解已识别风险,而非仅为“走过场”而评估。因此,务必落实整改措施,确保第三方符合贵组织的风险阈值要求。
对您扩展供应链的可视性
要建立有效的第三方风险管理(TPRM)计划,您需要对扩展供应链保持可视性。涉及分包商和N级供应商的扩展供应链存在重大运营风险,而缺乏可视性可能导致在供应链中断时无法保持韧性。许多重大数据泄露事件可追溯至第三方安全漏洞,但调查往往发现,漏洞最初往往始于分包商层面。
3. 合同谈判:设定明确的期望
企业需对第三方及分包商的违规行为承担连带责任。因此,建议在第三方合同中加入以下三项关键条款:
- 有权对第三方进行审计,以确保其遵守关键的安全和数据隐私保护措施。
- 及时的违规通知,以更快响应安全事件。
- 对已识别问题进行整改,以降低控制失效对组织造成影响的风险。
确保这些规定适用于所有分包商及第四或第五方,使其对任何问题承担责任。如被要求,应能提供执行或监督的证据。
TPRM提示:要求第三方披露其分包商,并纳入关键合同条款以确保透明度和问责制。
4. 持续监测:保持警惕
持续监控第三方供应商对维持供应商风险管理合规性至关重要。需重点监控各类风险,包括网络安全威胁、运营变更、财务不稳定及合规问题。采用整合式监控方法有助于简化流程,并提供全面的风险洞察。
TPRM提示:采用统一框架进行持续监控,以验证初始尽职调查并确保持续合规。
许多监管框架要求开展常规安全意识培训,以帮助团队识别社会工程学攻击和网络钓鱼攻击。最佳实践是将此类培训扩展至承包商、分包商及第三方员工,并记录培训流程与结果。此外,TPRM合规要求董事会及高级管理层实施监督,包括提供可操作的趋势报告、建立事件管理流程以及与监管机构保持沟通。内部审计职能应作为组织风险治理的一部分,对TPRM计划进行独立审查。
TPRM提示:记录所有培训流程及结果,以证明合规性与准备就绪状态。
5. 终止:制定明确的退出策略
大多数监管框架要求企业在外包关键业务职能时制定书面退出策略。例如,欧洲银行管理局(EBA)外包指南规定:"制定并实施全面、有据可查且经过充分测试(例如通过分析将外包服务转移至替代供应商可能产生的成本、影响、资源及时间安排)的退出计划。"
完善的退出策略确保在终止第三方合作关系时维持持续的运营韧性。该策略应包含以下目标:收回或销毁委托给第三方及分包商的所有敏感信息,终止其数据访问权限、基础设施使用权及物理接触权限,确认合同条款明确规定了有序的合同终止流程,并遵守所有法律要求。
TRPM提示:利用检查清单和自动化工作流程,对系统访问权限、数据销毁、访问管理、相关法律合规性、最终付款等事项进行报告。此方法可简化第三方离职流程,并向审计人员证明贵组织已建立健全的前瞻性流程。
下一步:超越基础
请遵循以下五个步骤,为满足交易对手风险管理(TPRM)合规要求做好准备。请注意,这些任务仅是基础要求。务必联系内部审计团队和外部审计师,根据贵机构的具体合规要求对清单进行补充完善。
普瑞瓦特如何提供帮助
Prevalent可协助贵组织建立全面的第三方风险管理(TPRM)计划,使其与更广泛的信息安全、治理及企业风险管理计划保持一致。借助Prevalent第三方风险管理平台,贵组织能够:
- 量化所有第三方固有风险,自动分层分类供应商,并设定相应的尽职调查等级。
- 利用包含750多个预制模板的庞大库,为第三方尽职调查提供支持,这些模板基于风险量化、工作流和内置整改指导。
- 通过专项评估和被动扫描来绘制第三方供应商生态系统图谱。
- 集中管理供应商合同的分发、讨论、存档与审核流程,实现合同生命周期的自动化管理,确保关键条款得到有效执行。
- 持续追踪并分析针对第三方机构的外部威胁,包括监测互联网及暗网中的网络威胁与漏洞,同时追踪公开及私有渠道的运营声誉、制裁措施及财务信息。
- 自动化合同评估与离职流程,以降低贵机构在合同终止后面临的风险。
- 通过内置模板简化监管报告流程,涵盖多方利益相关者、通用内部控制框架及行业特定法规。
若需了解Prevalent如何助您简化TPRM合规流程并领先于审计要求,请立即申请产品演示或战略咨询。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
