在日益互联的商业世界中,忽视合作伙伴、供应商或供货商安全措施不力给组织带来的风险已不再被容忍。网络犯罪分子深谙此道——攻破组织防线的最简便途径,正是通过其第三方渠道。
事实上,Prevalent 2023年第三方风险管理研究发现,41%的企业在过去12个月内遭遇了具有重大影响的第三方数据泄露事件。因此,信息安全团队正日益深度参与第三方风险管理(TPRM)计划的实施工作。
完善第三方风险管理计划的益处
持续完善您的第三方风险管理(TPRM)计划,是应对日新月异的第三方风险的关键所在。建立成熟的TPRM计划具有多重优势:
- 成熟的项目通过确保在业务关系开始时及整个合作过程中对第三方供应商、供货商和合作伙伴进行适当的审查和监控,从而更好地保护组织。
- 更成熟的TPRM计划也更高效且更有效。通过建立可重复的流程,贵组织能够减少依赖可能导致业务中断、安全漏洞或罚款的手动临时流程,从而更有效地评估和监控风险。
- 成熟的第三方风险管理(TPRM)计划通过提升对第三方关系的可视性来优化决策过程。这使团队能够更明智地决定合作对象、在维持合作关系时提出恰当的问题,以及判断终止合作关系的时机。
尽管存在这些明显优势,构建和完善TPRM计划仍可能令人望而生畏。为应对这一挑战,本文将:
- 探讨团队在构建和扩展更成熟流程时面临的挑战,以及需要管理的各类风险类型。
- 在能力成熟度模型(CMM)的框架下定义TPRM计划的成熟度,该模型是衡量成熟度的通用框架。
- 分析TPRM成熟度模型的每个阶段,以及迈向更高成熟度所需采取的步骤。
完善第三方风险管理计划面临的挑战
在定义成熟的TPRM项目应具备哪些特征之前,需先审视组织面临的常见挑战——这些挑战正是阻碍项目成熟发展的关键因素。
维持信息孤岛
在许多组织中,第三方风险管理(TPRM)由IT安全团队负责,但采购部门主导供应商关系管理。企业内部其他团队(如法务部门)通常也会参与第三方关系管理。若组织内不同团队无法共享数据或采用统一流程,则难以建立并扩展相关项目。
使用手动流程
在电子表格或共享文档中追踪需求、供应商响应及缓解任务,极易引发错误和数据不一致。此类方法在发生变更时也无法进行审计。最重要的是,手动流程根本无法实现规模化。虽然可能通过电子表格追踪单个供应商,但手动管理数百甚至数千家供应商实属不可能。
专注于入职培训
在大多数情况下,第三方风险评估会在引入新供应商前进行。虽然初始评估显然至关重要,但成熟的第三方风险管理(TPRM)体系还需对所有供应商的各类风险因素实施持续监控。毕竟风险并非一成不变——当供应商发生管理层变动、出售业务线、遭遇网络安全事件或未能通过监管审计时,风险都可能随之上升。 反之,当供应商推出新产品或实施改进质量、降低成本的变革时,风险亦可能降低。
无法追踪第四方和第N方的信息
风险不仅存在于您的直接合作伙伴和供应商之中。供应商的供应商——即所谓的第四方及更高阶供应商——同样可能带来风险。大多数第三方风险管理计划(尤其是人工操作的计划)都无法充分识别和监控这些延伸方。
成熟的第三方风险管理计划所涵盖的第三方风险类型
贵组织在推动供应商风险管理(TPRM)计划成熟度的过程中,可能面临的另一项挑战在于:理解当供应商无法满足服务级别协议(SLA)要求时所产生的运营风险。然而,更成熟的计划将使您能够识别更广泛的威胁与风险,包括:
网络风险
网络安全在第三方风险评估中至关重要。 勒索软件、分布式拒绝服务(DDoS)及其他攻击手段可能导致企业瘫痪,使公司无法履行商业义务。尽管2020年SolarWinds安全事件——攻击者入侵SolarWinds的Orion代码库植入后门——堪称近年最严重的网络安全事件,但绝非唯一涉及第三方供应商的安全漏洞。
- 针对澳大利亚领先个人贷款服务商Latitude Financial Services的攻击事件,导致其两家服务供应商的逾33万客户个人信息遭泄露。泄露数据包含护照及护照号码。攻击者通过入侵供应商系统获取Latitude员工登录凭证实施了此次攻击。
- 攻击者入侵了AT&T的一家营销供应商系统后,窃取了超过900万AT&T无线客户的客户专属网络信息(CPNI)。
- 数百万美国汽车工人联合会退休人员的个人数据遭窃取,这些数据存储于福利管理机构NationBenefits系统中,包括健康计划ID、联邦医疗保险信息及社会保障号码。攻击者利用NationBenefits使用的文件传输软件中的网络安全漏洞实施入侵。
合规风险
大多数组织在运营过程中需遵守众多不断演变的监管要求,这些要求旨在保护敏感数据和系统。其中包括《健康保险流通与责任 法案 》(HIPAA)、《加州消费者隐私法案》(CCPA)、《弗吉尼亚州消费者数据保护法案》以及欧洲《通用数据保护条例》(GDPR)在内的多项法规,均要求组织保护其消费者、客户及员工的隐私信息。另有法规涉及非公开财务信息的保护。违规行为可能导致罚款及声誉受损。
金融风险
采购团队必须能够清晰掌握第三方供应商的财务稳定性状况,包括其供应商的债务状况以及向客户提供的信贷额度。供应商若宣告破产,可能导致业务流失和供应链中断。
企业社会责任
投资者对环境、社会和治理(ESG)实践的关注持续升温。例如,在俄罗斯入侵乌克兰后,与俄罗斯政府关联企业开展业务对许多公司而言变得难以接受。企业还需防范其供应链被指控涉及侵犯人权、使用童工或造成环境破坏的风险。
声誉风险
供应商遭遇负面媒体报道或不良新闻,可能损害其客户的声誉。当供应商涉及不道德的招聘行为、产品质量问题、犯罪活动或环境灾难时,这种情况就可能发生。
运用能力成熟度模型定义TPRM成熟度
总体而言,不成熟的项目往往具有流程不可预测或控制不力的特点,而成熟的项目则表现为主动性强、可预测、可衡量且受控。 成熟度模型可为评估和提升组织在特定时点的业务实践提供蓝图,并帮助规划通往更高流程成熟度的路径。本文以卡内基梅隆大学软件工程研究所Watts Humphries等人于1980年代末开发的"能力成熟度模型"为基础,用于考察TPRM项目的成熟度。
能力成熟度模型认识到流程会随时间演进,随着组织积累经验和知识,其流程可得到改进,从而变得更高效、更有效且更可预测。该成熟度模型可应用于任何类型的组织流程,包括软件开发、项目管理、质量保证或客户支持。
TPRM成熟度的五大支柱
第三方风险管理能力成熟度模型探讨了支撑第三方风险管理计划当前及持续成功所需的五大关键支柱。在每个支柱内,我们分别审视了成熟度较低与成熟度较高的实践方法。
1. 实体覆盖范围
大多数组织启动供应商风险管理计划时,首先评估最关键的供应商。这种做法合乎逻辑,但风险可能来自任何实体。更成熟的组织会采用统一的方法对供应商进行分层或风险评级,确保所有供应商(包括第四方和第N方供应商)都纳入管理计划。
2. 内容
风险评估问卷通常始于临时性举措。向供应商发放问题后,收集自由回答并进行评估。更成熟的项目会定期审查评估问题,以明确每个问题旨在识别对组织的哪些风险,并合理调整问题权重。更成熟的项目还会严格确保供应商提供要求的合规证明材料。
3. 职责分工
不成熟的项目可能遵循指导方针,但缺乏流程文档和明确的职责分工。成熟的项目会对评估参与者进行培训,并发布及遵循操作手册以确保流程标准化。更成熟的项目将建立文档化的RACI图表,在整个组织中明确责任人、执行人、咨询人和知情人的职责分工。
4. 修复
补救措施评估指标侧重于风险识别后,风险管理方法的效率、标准化程度及质量。较不成熟的项目仅识别风险并要求供应商采取补救措施;而更成熟的项目则会建立评分机制来权衡风险与补救措施,并向供应商提供标准化的补救指南。
5. 治理
治理涵盖项目评估与成效验证的机制。不成熟的项目往往缺乏充分的评估报告和第三方项目审计。而成熟项目则整合第三方评估数据,为团队提供衡量风险、指导决策所需的情报,并依据关键绩效指标(KPI)和关键风险指标(KRI)对第三方供应商进行评估。
关键问题
推动TPRM成熟度的项目支柱概述。
第三方风险管理成熟度等级
在能力成熟度模型中,五个支柱领域的项目成熟度均按五个等级进行评定,从初级(1级)到远见(5级)。评分体系经过标准化处理,确保所有技术风险管理项目均采用统一标准进行评估。通过这种方式,您可将供应商的成熟度评分与规模、复杂度及垂直领域相近的同行进行基准对比。
TPRM能力成熟度模型。
第一级:不成熟
处于成熟度模型第一层级的组织不会优先考虑技术风险管理。风险管理存在孤岛现象,相关活动仅在问题出现或供应商存在明显警示信号时才采取临时性、被动应对措施。由于流程未被记录且定义模糊,针对单个供应商的成功评估结果往往难以复制。
一级供应商风险管理(TPRM)是针对有限数量供应商的手动流程。供应商问卷内容不统一,且以独立电子表格形式分发。答复可能采用叙述性形式,难以评估风险。风险缓解控制措施尚无统一标准。团队未对供应商进行持续合规性监控或新风险监测。
晋升至第二级的要求:在 第一级阶段,组织尚未致力于理解或衡量第三方风险。初创团队尚未制定并记录可复制的流程。要晋升至第二级,需要建立更严格的纪律来制定政策和流程,以确保评估的一致性。
第二级:发展中
在第二级中,部分(而非全部)团队已建立并记录了可重复产出结果的流程。例如,安全团队可能制定了标准化问卷和渗透测试要求,财务部门则可能确立了统一的财务披露参数。然而其他团队仍维持临时性运作模式。这种孤岛式工作方式导致评估结果不一致,阻碍了项目的规模化推进。
若缺乏标准化方法,供应商便无法依据风险等级进行分层管理。这将导致关键供应商评估不足而风险攀升,低风险供应商过度审查则造成效率低下。二级组织仍沿用电子表格和共享文档,使得可靠、可审计且全面的供应商风险管理难以实现。
晋升至三级的要求:二级 组织存在信息、文件记录及一致性方面的不足。其需要管理层支持来制定跨职能的交易方风险管理要求,并建立风险及缓解措施的报告机制。实现可扩展的项目需依赖自动化手段。
第3级:可扩展
在三级风险管理水平下,风险管理已获得充分资源支持,组织内部各职能部门的流程保持一致。多数部门壁垒已被打破,团队已对风险识别与评估活动进行标准化、文档化及整合。风险监控范围已从业务与IT风险扩展至公司治理、合规及声誉风险。风险分层
三级流程采用半自动化模式。例如,入职流程可能采用自动化问卷,但后续的整改监控及持续合规性核查仍需人工操作。这种模式使团队能够适度扩展交易对手风险管理(TPRM)规模,但仍可能存在可见性缺口。
晋升至第四级的要求: 所有部门必须建立标准化 流程、报告机制及自动化体系。 第三级通常由各部门独立完成报告工作。要实现晋升,组织应着力消除部门壁垒,建立集中化报告体系。
第4级:优化
四级组织将供应商风险管理视为战略性要求,并在所有部门实施标准化政策与流程。供应商风险管理团队通过自动化、标准化的供应商风险评估,结合供应商风险监控、评估工作流及补救管理,覆盖供应商全生命周期。风险缓解控制措施已制度化,供应商监控机制全面落地。自动化还使该项目具备完全可审计性。
四级组织能够将供应商风险管理(TPRM)体系扩展至所有供应商,覆盖整个供应商生命周期。关键绩效指标(KPI)和关键风险指标(KRI)的报告实现自动化,持续改进举措以数据为驱动。与第三方沟通时,重点强调TPRM计划带来的互利共赢。
晋升至第5级的要求:建立制度化 程序,对交易风险管理计划的每个部分进行审查,以实现持续渐进的改进。每年至少重新评估一次信息技术风险与非信息技术风险及其缓解策略。
第五级:远见者
第五级是少数组织才能达到的理想成熟度水平。它代表着一个完全自动化的供应商风险管理(TPRM)体系,能够预判风险、实施有效管控,并针对供应商的网络安全、运营、财务、环境、合规、声誉、ESG及绩效风险进行监控。具有远见卓识的组织会与供应商积极协作,在降低风险的同时提升供应商的业务水平。
在第5级,残余风险依然存在,但必要时可通过正式的、经过验证的程序迅速处理,并被业务部门接受。
TPRM成熟度标准按支柱和级别划分。
您TPRM计划成熟度之旅的下一步:立即免费评估
成熟的第三方风险管理(TPRM)计划有助于识别并缓解与第三方关系相关的潜在风险,降低对组织造成负面影响的可能性。预判第三方风险可帮助组织避免代价高昂的中断,同时规避财务损失与声誉损害。通过自动化风险识别与控制流程,并整合所有利益相关方的需求,成熟的TPRM计划为组织提供更精准、更全面的第三方关系信息,从而支持更优的决策制定。
计算您的TPRM计划成熟度
无论您是刚启动第三方风险管理计划,还是致力于完善现有计划,Prevalent都能为您提供支持。通过单一平台,Prevalent实现第三方风险管理的自动化:收集第三方风险信息、量化风险、推荐整改措施并提供报告模板。Prevalent平台包含超过750项标准化评估库、定制化功能、持续风险监控以及内置工作流与整改流程。
若需通过能力成熟度模型连续体评估您在TPRM计划中的成熟度水平,请立即申请免费计划成熟度评估。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
