理解贵组织的第三方风险管理生命周期对于识别和修复供应商风险至关重要。然而,将第三方风险管理(TPRM)视为一次性风险评估和修复举措,实属常见误区。
事实上,贵组织在供应商关系的每个阶段都会面临独特的风险,因此制定能够覆盖整个第三方生命周期的第三方风险管理(TPRM)计划至关重要。系统化的流程是解决第三方风险管理痛点的最快途径,它能帮助企业基于风险做出明智决策,并随着时间推移不断优化和扩展管理计划。本文将阐述第三方生命周期的关键阶段,并分享 各阶段风险缓解的最佳实践。
1. 供应商的遴选与选择
供应商风险管理始于供应商选择,通常涉及多个团队且优先级各异。例如:工程团队侧重供应商的技术能力,采购团队关注企业稳定性,安全团队评估数据保护措施,合规团队则核查报告与审计要求。
此外,供应商在风险评估问卷中常提供前后不一致甚至自相矛盾的回答,这使得准确评估其对组织构成的风险变得极其困难。当组织缺乏统一的供应商信息来源时,这些问题尤为突出。
供应商选择与筛选最佳实践
使用供应商风险管理数据库
许多组织仍在使用电子表格来关联供应商风险评估问卷的回答(
)与安全控制、合规性及其他要求。建议采用供应商风险管理数据库或第三方风险管理平台,以加速供应商筛选、提升风险识别能力,并建立统一的供应商数据权威来源。
基于风险特征的标准化问卷
每个供应商的风险评估等级各不相同(即与他们为贵组织提供的服务相关的风险)。处理个人身份信息(PII)或受保护健康信息(PHI)的供应商,其风险等级将远高于管道维修公司。应根据风险评估结果,为不同层级的供应商制定标准化问卷。 对于风险等级较低的供应商,简易问卷即可满足需求;而涉及贵公司IT环境或敏感数据的供应商,则需采用更全面的问卷。
将ESG纳入供应商选择流程
环境、社会和治理(ESG)风险正日益成为全球企业关注的焦点。投资者和消费者都开始期待企业认真考量其第三方合作伙伴所涉及的环境、道德和社会成本。在供应商风险管理生命周期的初期阶段,将ESG风险评估与安全及数据隐私控制评估同步纳入考量,有助于规避那些在环境破坏、现代奴役及其他有违道德的商业行为方面存在不良记录的企业。
2. 接诊与入职培训
供应商入驻流程通常涉及手动或批量上传档案信息。将预配置的电子表格或API连接至现有的供应商管理或采购解决方案,是创建供应商中央存储库的更高效方式。通过基于角色的访问权限,可让不同团队填充供应商数据并邀请其他员工参与协作。
供应商接纳与入职的最佳实践
建立正式审批流程
应建立书面化的正式审批流程来接纳新供应商。建议在供应商接纳流程中纳入支付条款、发票开具及信息安全标准的标准模板。
设定并传达切实可行的入职时间框架
入职流程可能相当漫长。您需要向供应商提供访问设施或系统的凭证;确保他们能够履行职责;并敲定付款条款及其他流程。务必设定切实可行的入职时间表,并向供应商和内部部门传达相关安排。
关注合规性
许多组织依赖其对第三方合规性的初始评估来维持整个供应商生命周期内的合规性。然而,随着合同的演变,持续考量合规要求至关重要。范围蔓延现象时有发生,导致供应商获得对敏感数据和系统的访问权限——这些在采购和选型阶段往往未被充分考虑。务必在供应商入驻阶段全面掌握数据存储位置及供应商的访问权限范围。 需定期审查并根据需要调整供应商的访问权限及必要的安全控制措施。
尽可能实现自动化
新供应商的入职流程往往耗时费力。当需要同时对接多家供应商时,时间压力尤为突出。正因如此,自动化才是实现可扩展第三方风险管理计划的关键。例如,可通过自动化分发问卷,并让团队成员轻松共享入职表格。
3. 内在风险评分
固有风险评分是第三方风险管理生命周期中的关键环节。并非所有供应商都需要同等程度的审查。例如,办公用品供应商带来的组织风险低于关键零部件或法律服务供应商。若供应商位于政治动荡地区、存在数据泄露历史或信用记录不良,则风险更高,需加强尽职调查。
要准确评估供应商带来的风险,必须能够计算其固有风险。这是在未考虑贵组织要求的任何特定控制措施之前,供应商的风险水平。全面掌握固有风险可建立基准,并指导您对必要尽职调查的决策。在确立固有风险基准后,计算残余风险——即实施控制措施后剩余的风险——将变得更为简便。
固有风险在供应商评估、分级和分类决策中同样发挥着关键作用。通过将供应商评估与对企业、客户及监管机构最相关的风险和标准相匹配,这种方法能显著加快风险评估进程。
风险评分最佳实践
将供应商风险评估与合规要求相结合
问卷应反映贵组织需遵守的合规要求。若供应商接触到个人身份信息(PII)、个人健康信息(PHI)或财务信息等敏感数据,则需确保将贵组织的合规要求映射至供应商风险问卷。以下是风险评估过程中应涉及的部分问题:
- 该组织是否通过任何第三方信息安全标准或框架的认证?(例如:SOC2、NIST 800-53、NIST CSF、CMMC)
- 组织是否符合网络安全或信息安全合规要求?如果是,是哪些要求?
- 与第三方和第四方共享客户数据的政策和流程是什么?
不要单打独斗
采用TPRM平台可显著加快供应商风险评估速度,并能快速将问卷答复与合规要求进行映射。此外,像Prevalent这样的专业第三方风险管理解决方案,内置了可定制的固有风险问卷,可轻松实现供应商风险的无缝识别。
利用评分来规范结果并提供可行的见解
理解供应商未能向贵组织交付产品或服务可能带来的潜在影响至关重要。因此,您应采用评分体系来确定每个供应商的等级。该体系可包含以下标准:
- 业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和影响
- 法律和监管义务
- 声誉
- 地理(如集中风险)
一旦定义了供应商层级,就能轻松识别出哪些供应商最为关键。例如,您应该能够生成一份报告,列出所有位于美国、处理个人数据且属于顶级供应商的供应商。
在流程早期阶段对信息进行审核,并将其存储在易于访问的位置,使您能够对尽职调查工作进行合理规划,重点关注风险最高的供应商,从而加快整体流程。
4. 供应商评估与风险整改
不同第三方带来的风险程度将因其对业务的关键性及其他因素而异。同样地,各层级第三方所适用的评估标准也各不相同。例如,零部件供应商的评估标准就与云托管服务供应商的评估标准存在差异。
风险管理计划不完善的组织可能通过为每个新项目创建独立的电子表格调查来应对不同供应商层级,这无异于不断"重复发明轮子"。这些调查的反馈在详细程度和完整性上可能存在差异,导致难以评估整体风险及所需控制措施。追踪需要整改的未决事项并确保整改控制措施的一致性和充分性往往困难重重,给本就稀缺的安全、风险和合规资源带来额外负担。
供应商评估与整改最佳实践
利用共享图书馆
第三方风险管理流程对资源有限的团队而言颇具挑战。在降低风险并完成评估保证所需的时间中,数据收集流程与供应商往来沟通占据最大比重。加剧这一难题的是不断变化的监管环境,这要求具备专业知识来解读合规报告义务。在确保合规性、满足供应商风险管理要求的同时,最大限度发挥团队技能优势,无疑是一项平衡之术。
为应对资源限制,许多组织——尤其是那些拥有完善供应商分层计划的企业——选择利用行业共享平台中已提交并共享的成熟内容。这些供应商共享平台具有自我实现的特性:参与的供应商越多,与其他企业的内容重叠度就越高。这不仅加速了风险识别与缓解流程,还最大限度地缩短了数据收集时间。
确保问卷的灵活性
供应商风险问卷并非“一刀切”。采用具备多种问卷模板且支持定制化问卷生成的第三方风险管理平台,能极大简化供应商评估流程。专用平台可将供应商调查与响应管理的手工操作 减少50%,并确保评估问卷与各供应商的风险特征精准匹配。
通过内置修复指导节省时间
供应商评估有时会揭示令人担忧的事实。相关供应商可能曾遭遇数据泄露事件、未遵守数据隐私法规,或缺乏正式的网络安全计划。具备内置整改指导功能的平台可提供直观的整改请求模板,并配备工作流与任务管理能力,从而促进并简化整个整改流程。
合规报告事宜
在与供应商合作时,您通常需要考虑信息安全和数据隐私合规问题。制定第三方风险管理策略时,应评估不同平台的合规报告处理能力。采用具备自动化合规报告功能的TPRM平台,可满足各类国内及国际合规要求,从而大幅简化审计流程并降低违规风险。
具备人工智能能力的规模化报告
务必考量人工智能为风险分析与报告带来的价值。尽管人工智能并非新概念,但生成式人工智能技术的近期主流化应用,使企业得以在前所未有的规模上解决业务难题。基于数十亿事件数据和多年经验训练的对话式人工智能,能够在NIST、ISO、SOC 2等行业指南框架下,提供专业的风险管理洞见。
5. 持续监测
尽管定期评估对于了解供应商如何管理其信息安全和数据隐私计划至关重要,但典型的风险评估只能提供贵组织在某个特定时间点的风险概况快照。随着威胁不断演变、新数据泄露事件发生以及业务挑战涌现,该风险概况可能迅速发生变化。
持续监控第三方网络安全实践至关重要。同样重要的是,要掌握其他类型的业务变化动态,例如可能引发业务风险的财务、声誉、合规及供应链问题。
遗憾的是,组织通常无法以能够快速通知安全和风险团队的方式获取这些数据,这些数据往往未能纳入用于决策的中央登记册。相反,许多组织依赖于人工流程、分散的工具、供应商通知和新闻报道。
第三方监控最佳实践
别忘了第四和第N方
在严格监控第三方供应商的同时,人们往往容易忽略其合作的第三方乃至更深层的供应商。若您的供应商依赖其他公司履行合同并开展业务,这些合作方的安全漏洞或运营问题最终可能波及您的组织。
因此,在风险评估过程中,您应识别任何对第三方成功至关重要的第四方。根据这些第四方对您第三方构成的风险程度,考虑对其实施缩减版的网络安全与财务监控流程。
考虑多种类型的网络风险
识别供应商面向公众的IT系统中的漏洞,仅是持续监控工作的一部分。重要的是要超越漏洞扫描,揭示其他网络风险指标,包括:
- 安全漏洞事件—— 大量安全漏洞事件表明供应商安全计划存在缺陷,可能引发监管压力。
- 暗网动态—— 某公司近期在暗网频繁被提及, 往往意味着针对该公司的威胁活动增多,攻击概率随之上升。暗网市场对该公司的关注,可能暗示其资产或账户正被非法出售,或存在欺诈计划。
- 域名滥用/拼写错误域名抢注——新注册域名若与现有企业域名存在拼写错误域名抢注式的相似性,可能表明存在域名滥用(如网络钓鱼)、防御性注册以防止或减轻域名滥用,或两者兼有。
- 电子邮件安全——发件人策略框架(SPF)策略配置;域名密钥识别邮件(DKIM);以及基于域的消息认证、报告与合规性(DMARC)。
- 泄露凭证—— 暴露的凭证和电子邮件表明公司员工可能重复使用密码或企业邮箱地址,这增加了凭证填充攻击的风险,并可能成为威胁行为者的攻击目标。
- 安全事件——安全漏洞披露及经核实的网络攻击报告表明,企业近期可能遭遇了网络攻击、数据泄露或其他危及企业信息资产的事件。
- 基础设施风险—— 包括违反IT政策、滥用公司基础设施、公司基础设施感染、恶意软件、配置错误、漏洞、受感染主机以及不受支持的软件。
- Web应用程序安全——SSL/TLS证书与配置。
别止步于网络风险
许多企业关注网络风险,因为这类风险通常易于量化且处理方式明确。然而,网络风险监控应 辅以运营风险、财务风险和声誉风险的监控。在构建第三方监控计划时,务必将这些其他类型的风险纳入考量。需思考的问题包括:
- 该供应商财务状况是否健康?在可预见的未来,他们是否存在破产或遭遇其他财务中断的重大可能性?
- 该供应商是否遵循道德商业行为?
- 该供应商是否遵守适用的法律法规?
6. 持续绩效与服务水平协议管理
风险管理是一个持续的过程。即使是可靠的合作伙伴也可能遭遇运营中断,而协议签署后,各方履行承诺控制措施的动力往往会减弱。这种不断变化的风险环境不仅需要持续的外部风险监控,还要求对供应商履约义务保持持续的可视性。
某些供应商可能需要严格审查以确保其整改承诺得到履行,所有供应商都应依据其服务级别协议(SLA)进行评估。若试图通过电子表格或其他人工方式管理此事,将增加未能达成SLA及引发相关业务中断的风险。
供应商管理最佳实践
定期评估供应商绩效
采用一次性评估供应商的做法固然诱人,但这可能导致工作成果不佳和商业关系破裂。定期评估供应商是否履行服务水平协议及其他合同义务,有助于及早发现问题。
定义正确的KPI和KRI
确定正确的关键绩效指标和关键风险指标,对于有效评估供应商绩效至关重要。关键绩效指标有助于确保在整个合同周期内履行合同义务并达成业务目标。关键风险指标则能帮助您全面了解供应商从入职到离职过程中带来的风险。
7. 终止与离职流程
供应商关系终止后,风险仍可能持续存在。离职供应商若持有敏感数据,必须归还和/或安全销毁该数据;其对内部系统的访问权限需被终止;而支持义务可能延续至采购协议终止之后。然而Prevalent研究发现,39%的企业在供应商离职过程中既不追踪也不处理第三方风险。这将持续引发业务、安全及知识产权方面的风险。
供应商入职最佳实践
不要认为数据已被删除
人们常认为第三方会在合同终止时删除敏感客户数据及其他信息,但实际情况并非总是如此。请务必主动联系相关第三方,确保所有敏感信息已被彻底清除。建议将此要求以书面形式确认,以便未来发生事件时留存审计记录。
确认已撤销对物理和IT基础设施的访问权限
在终止供应商合作后,务必确保IT和设施团队已正确撤销承包商员工的权限。确认已撤销其所有建筑物出入权限,并从云端及IT环境中移除所有权限。若供应商意外保留访问权限,贵公司可能面临未来数据泄露风险。在集中式供应商风险管理平台中实施基于工作流的检查清单,可有效保障离职流程的安全性。
进行彻底的合同审查
供应商完成为贵机构的工作后,请仔细审查合同,确保其已交付所有成果。切勿预设其已达成所有里程碑和关键绩效指标。
运行最终合规报告
供应商的职责和访问权限在整个合作周期中可能发生变化,这已不是什么秘密。请务必仔细核查供应商曾访问过的系统和数据。请考虑以下问题:
- 供应商的网络安全控制措施是否足以满足您在其整个生命周期内的合规要求?
- 在合同期间,供应商是否曾被授予超出其工作职责所需的高级权限或访问权限?
- 供应商在合同期间是否对任何安全事件负责?
- 供应商是否在合同期间使您面临违反一项或多项法规的风险?
提出这些问题有助于确保您持续符合相关要求,同时还能为您提供宝贵见解,助您更有效地管理供应商合规性。
供应商生命周期管理后续步骤
第三方风险管理往往充满挑战。涉及多个部门的数十个动态环节,协调第三方风险评估、确保合规要求得到满足、协调不同部门的独立运作都可能困难重重。Mitratech第三方风险管理平台能让供应商生命周期管理变得轻松许多。阅读我们的最佳实践指南《驾驭供应商风险生命周期:每个阶段的成功关键》,或立即申请演示,深入了解我们的解决方案。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
