在任何行业,遵守监管合规和报告对于日常运营和确保业务弹性都是不可或缺的。由于供应商和供货商与数据泄露和供应链中断的关系日益密切,许多组织现在都必须遵守行业和政府法规,将合规工作扩展到确保适当的第三方治理。这就需要建立健全的第三方风险管理计划。
在本综合指南中,我们将探讨 TPRM 合规性的关键方面,强调其重要性、风险评估的作用、持续监控、网络安全框架、ESG 法规、行业准则、数据隐私法规,以及企业开始 TPRM 合规性之旅的实际步骤。
了解 TPRM 合规性
TPRM 是企业在使用供应商和供货商时应对各种法规的关键。解决合规问题是一个多方面的挑战,需要采取战略性的方法。
TPRM 计划对满足合规性要求至关重要
为遵守各种法规、准则和标准,贵组织应采用第三方风险管理 (TPRM) 计划。这包括以下多步骤方法
- 根据企业的风险承受能力以及数据安全和隐私政策,制定第三方参与规则
- 在所有第三方合同中纳入这些规则以及审计要求
- 通过基于问卷的风险评估对第三方进行评估
- 根据合同协议衡量绩效
- 持续监控第三方以核实合规情况
- 纠正缺陷
- 向内部和外部利益攸关方报告
利用框架来建立和支持您的 TPRM 计划
TPRM 框架,如标准信息收集 (SIG) 调查表和 NIST 800-161 标准,为基于行业标准的最佳实践制定计划提供了路线图。NIST CSF、ISO 27001 和ISO 27036-2等信息安全框架是对 TPRM 工作的补充。利用TPRM 框架可确保制定全面的计划,从而降低组织及其客户的风险。
风险评估和持续监控在 TPRM 合规性中的作用
HIPAA 等法规通常要求组织对其供应商的违规行为负责,因此有必要进行全面的风险评估,以衡量供应商安全和数据隐私控制及政策的有效性。除定期风险评估外,持续的第三方监控对于提供供应商威胁的持续可见性以及应对实时网络安全、财务、道德、声誉和运营风险也至关重要。
第三方风险评估贯穿整个供应商风险生命周期,以全面评估特定供应商和供货商给组织带来的风险。通常,评估结果会与行业或监管框架(如 ISO、HIPAA、PCI DSS、英国《现代奴隶制法案》、GDPR、NIST CSF 等)中列出的关键要求相对应。除定期风险评估外,持续的第三方监控对于保持 TPRM 合规性和最佳实践至关重要。
在两次供应商风险评估之间,可能会发生很多事情。因此,持续了解供应商的威胁非常重要。积极监控第三方的网络安全、财务、道德、声誉和运营风险,对于确保组织供应链的持续稳定性和复原力至关重要。
通过将深度安全数据收集和分析与第三方风险管理方法相结合,协助防御内部系统、进行实地考察和审查记录,各组织和利益相关方可持续深入了解供应商组织的合规状况。第三方监控可确保供应商关系的可持续性、信任度和透明度。
通过自动化简化 TPRM 合规性
确保公司内部遵守法规、指南和行业标准,在最好的情况下也是复杂而具有挑战性的(尤其是当您依赖电子表格时)。如果再加上与第三方、供应商、业务关联方和供应链合作伙伴相关的合规任务,风险管理的负担就会走上全新的轨道。
Prevalent 提供单一、统一的第三方风险管理 (TPRM) 平台,可在整个供应商生命周期内自动进行风险评估、监控、分析和报告,从而简化您的合规计划。
网络安全框架
网络安全框架在实施和维护TPRM 合规性方面发挥着至关重要的作用。它们帮助企业遵守指南、最佳实践和标准,以共同语言识别、评估和管理第三方网络安全风险。通过将这些框架纳入其 TPRM 合规性计划,企业可以有效地管理第三方风险,确保合规性,保护敏感数据,并维护利益相关者的信任。
关键网络安全框架
| 框架 | 摘要 |
|---|---|
| CAIQ(共识评估倡议问卷) | CAIQ 为记录云服务中的安全控制提供了一种方法,从而提高了透明度和保证度,并有助于衡量潜在云服务供应商的安全状况。 |
| 独联体(控制 15 和 17) | 这些控制措施分别涉及服务提供商管理和事件响应管理,是 TPRM 的组成部分。 |
| CMMC(网络安全成熟度模型认证) | CMMC 合规性可确保与国防部签订合同的公司有足够的保障措施来保护非公开数据。 |
| 关于改善国家网络安全的行政命令 | 该命令旨在通过保护联邦网络、改善信息共享和加强美国应对事件的能力,使网络安全防御现代化。 |
| ISO 27001、27002 和 27036-2 | 这些标准为建立、实施、维护和改进信息安全管理系统提供了一个框架。 |
| NCSC 供应链网络安全指南 | 本指南可帮助各组织评估其供应链的网络安全。 |
| NIST 人工智能风险管理框架 | 该框架提供了指导方针和最佳实践,帮助企业管理与人工智能(AI)系统相关的风险。 |
| NIST SP 800-53、SP 800-161 | 这些标准为联邦信息系统提供了一套准则,以确保其安全和隐私。 |
| NIST CSF v2.0 | 该更新框架提供了强化的网络安全供应链风险管理指导。 |
| PCI DSS(支付卡行业数据安全标准) | 用于确保公司有足够的保障措施来保护持卡人数据的标准。 |
| 美国证券交易委员会网络安全披露规则 | 这些规则要求上市公司披露网络安全风险和事件,其中包括与第三方相关的风险。 |
| SIG 问卷 共享评估 | SIG 问卷是组织用来评估和了解第三方带来的信息技术、隐私、数据安全、环境、社会和治理以及业务弹性风险的工具。 |
| SOC 2(系统和组织控制) | SOC 2 报告就服务机构的安全性、可用性、处理完整性、保密性和隐私控制(包括与第三方供应商有关的控制)提供详细信息和保证。 |
ESG 法规
近年来,ESG(环境、社会和治理)因素的重要性与日俱增,各国政府纷纷颁布涵盖 ESG 各个方面的法律。这包括制定强制性报告要求和积极措施,以确保企业将 ESG 原则纳入其核心决策过程。
环境、社会和公司治理合规要求涉及影响第三方和延伸供应链的运营风险。上市公司有法律责任评估其第三方合作伙伴和延伸供应链的 ESG 实践,并寻求信息以评估与不遵守 ESG 核心法规相关的风险。精心设计的第三方风险管理 (TPRM) 计划不仅能帮助企业满足当前影响供应商和销售商关系的 ESG 要求,还能使其与未来的 ESG 法规和标准保持一致。
主要 ESG 法规和 TPRM
| 条例 | 摘要 |
|---|---|
| CTSCA(《加利福尼亚供应链透明法) | CTSCA 要求某些公司报告其在整个供应链中消除奴役和人口贩运的具体行动。 |
| 欧盟企业尽职调查法 | 该法案旨在通过在公司运营、治理和业务关系中考虑人权和环境因素,促进可持续和负责任的企业行为。 |
| 欧盟 CSRD(企业可持续发展报告指令) | CSRD 对欧盟公司、在欧盟净营业额达到一定门槛的非欧盟公司以及在受监管的欧盟市场上市的公司提出了更详细的可持续发展报告要求。 |
| 美国 FCPA(《反海外腐败法) | FCPA 是一部美国联邦法律,禁止美国公民和实体为商业利益贿赂外国政府官员。 |
| 打击供应链中的强迫劳动和童工法 | 该法案旨在提高行业意识和透明度,并通过 S-211 法案引入相关措施,推动企业改进做法。 |
| 德国供应链尽职调查法 | 该法案要求公司调整和更新其合规、采购和合同起草流程,并实施尽职调查计划。 |
| 英国 2010 年《反贿赂法 | 英国 2010 年《反贿赂法》旨在打击英国的贿赂行为,并整合了以前与贿赂有关的犯罪行为。 |
| 英国 2015 年《现代奴隶制法案 | 英国《2015 年现代奴隶制法案》要求营业额超过 3,600 万英镑的企业公开报告其在运营和供应链中为防止现代奴隶制而采取的措施。 |
行业准则
近年来,以第三方风险评估和监测为重点的合规监管要求明显增多,特别是对金融机构、公用事业和关键基础设施而言。这些措施旨在通过解决与将关键职能外包给外部供应商、供货商和服务提供商有关的潜在风险,确保业务的安全性、完整性和连续性。
遵守这些法规不仅能降低风险,还能促进供应商关系中的问责制、透明度和信任度。在这些受监管行业内运营的组织必须优先考虑强有力的供应商风险管理实践,以驾驭不断变化的监管环境,确保其运营和利益相关者得到保护。
主要的 TPRM 合规行业准则
| 指导原则 | 摘要 |
|---|---|
| APRA CPS 234 | 重点关注澳大利亚金融机构的信息安全和网络安全恢复能力。 |
| 数字运行复原力法(DORA) | 欧盟针对金融部门业务复原力和风险管理的法规。 |
| 欧洲律师协会外包指南 | 为欧盟银行的外包安排提供指导。 |
| FCA FG 16/15 | 概述英国金融业外包和第三方风险管理指南。 |
| FFIEC 信息技术审查手册 | 为美国金融机构提供信息技术和网络安全风险评估指南。 |
| 第三方关系机构间指南 | 重点关注美国金融业的第三方风险管理。 |
| KYC(了解你的客户) | 涉及核实客户身份和评估与金融服务相关的风险。 |
| 新加坡金融管理局外包第三方安排指南 | 为新加坡金融机构的外包安排提供指导。 |
| NERC(关键基础设施保护 (CIP) 标准) | 确保北美关键基础设施资产的安全。 |
| NERC(供应链网络安全风险管理生命周期安全指南) | 重点关注关键基础设施供应链中的网络安全风险管理。 |
| NERC(供应商风险管理生命周期安全指南) | 指导管理与关键基础设施供应商相关的网络安全风险。 |
| NY CRR 500 | 解决在纽约运营的金融机构的网络安全要求。 |
| OSFI B-10 | 为加拿大金融机构的外包风险管理提供指导。 |
| PRA SS2/21 | 重点介绍英国对银行和保险公司的审慎要求和期望。 |
数据隐私条例
数据隐私法规确保第三方供应商和服务提供商能够保护个人信息并防止其被滥用。当企业使用第三方服务提供商管理客户数据时,TPRM是遵守 GDPR(《通用数据保护条例》)和 CCPA(《加州消费者隐私法案》)等数据隐私法规的关键。了解这些法规的细微差别,对于在全球数字互联环境中运营的企业来说至关重要。
主要的 TPRM 数据隐私合规法规
| 条例 | 摘要 |
|---|---|
| CCPA(《加州消费者隐私法) | 加利福尼亚州的一项法律,赋予消费者隐私权,并对企业收集和使用个人信息进行监管。 |
| GDPR(《一般数据保护条例) | 欧盟有关个人数据保护的法规,包括个人数据的收集、存储和处理。 |
| HIPAA(《健康保险可携性与责任法案) | 美国联邦法律,保障医疗和健康相关信息的隐私和安全。 |
| NIST SP 800-66 | 美国国家标准与技术研究院的特别出版物,提供医疗保健信息安全指南,尤其是符合 HIPAA 的信息安全指南。 |
| 纽约州 SHIELD 法案》(《纽约州制止黑客攻击和改善电子数据安全法案) | 纽约州的一项法律,规定了数据安全措施和违规通知要求。 |
| 个人数据保护法 | 新加坡有关收集、使用和披露个人数据的法律。 |
| 魁北克法律 25 | 该条款规定并授权魁北克省数据保护机构负责监督个人信息的收集、使用和交流,并执行向省外传输数据时的隐私影响评估等要求。 |
如何制定 TPRM 合规计划
在深入研究错综复杂的第三方风险管理 (TPRM) 合规性时,系统化的方法至关重要。各组织应踏上一条不仅能满足监管要求,还能加强其扩展业务生态系统复原力的旅程。以下是启动和加强 TPRM 合规性的 10 个关键步骤:
步骤 1:根据适用的法规和框架调整您的 TPRM 计划
检查监管环境,确定特定行业和地区的要求,然后确定合适的框架,定制合规战略,以无缝地与这些法规保持一致。
步骤 2:在采购和选择过程中评估供应商的合规状况
在RFI 和 RFP中纳入高级别合规标准,并根据供应商风险情报网络对第三方进行预筛选,该网络可提供与监管框架和行业标准相对应的已完成评估。
步骤 3:确保在供应商合同中纳入可执行的第三方和第四方条款
集中分发、讨论、保留和审查供应商合同,确保所有必要条款(如审计权)都包含在供应商关系中并得到执行。寻求将合同生命周期管理与第三方风险管理无缝集成的解决方案,以便所有内部团队使用相同的工作流程。
步骤 4:建立第三方中央数据库
对业务生态系统中的所有第三方关系进行彻底核算,并建立一个供应商和供货商档案的中央资料库。这将成为所有内部部门就第三方合规性和风险管理措施进行协作和报告的单一参考点。
步骤 5:根据固有风险对供应商进行分类
固有风险是指在考虑贵组织要求的任何特定控制措施之前,供应商的风险水平。使用固有风险分数对供应商进行分级,并确定他们需要何种类型的持续尽职调查。合规性和监管因素在其中发挥着重要作用。例如,如果 GDPR 是贵组织的一个重要驱动因素,那么根据供应商对客户数据的访问权限对其进行分级就应成为首要考虑因素。
步骤 6:进行风险评估,并将评估结果与适用法规相对应
通过定期审计和评估确保持续合规。利用自动供应商风险评估解决方案来简化流程、管理证据收集,并同时映射对多项法规的响应。这种方法可以大大简化和加快合规性报告计划,并应包括内置的补救建议,以降低持续的残余风险水平。
第 7 步:持续监控,随时了解合规违规情况
在定期评估之间利用自动第三方风险监控解决方案。这些解决方案可以通过分析网络情报、业务更新、财务洞察、媒体筛选、制裁名单、违规事件等来源,发现新的合规问题。
步骤 8:对照合同衡量绩效
定期进行绩效评估和合同审查,确保第三方合作伙伴遵守任何合规授权,并采取任何必要的补救措施。
步骤 9:使用离职流程避免未来的合规问题
被终止的供应商可能会接触到符合监管要求的敏感数据,因此要遵循正式的离职流程,以确保所有相关数据被适当销毁或停用。
步骤 10:随时了解情况,适应变化
随时了解监管环境和行业标准的变化。调整您的TPRM 合规战略,纳入新的要求和最佳实践,确保持续的相关性。
结论
TPRM 合规性是一项动态和多方面的工作,需要采用整体方法来评估和持续监控供应商和供货商。通过了解风险评估、持续监控、网络安全框架、环境、社会和治理法规、行业准则和数据隐私法规的复杂性,您的组织可以强化其第三方关系,防范潜在威胁,并在信任和弹性的环境中茁壮成长。遵守 TPRM 不仅是一项监管义务,也是在一个相互关联的世界中实现业务持续成功的战略需要。
下一步:了解 Mitratech 的 TPRM 合规性解决方案
第三方厂商和供应商与数据泄露、供应链中断和违反监管规定的关联日益密切。随着企业面临更严格的社会和立法审查,确保其整个运营的复原力、责任感和道德规范势在必行。现在,企业比以往任何时候都更需要确保其供应商能够保护敏感数据、遵守重要法规并坚持商业道德标准。另一方面,手动收集、管理和审查风险状况既不可靠,又容易出错,而且成本高昂。通过我们统一、集成的第三方风险管理 (TPRM) 平台,Mitratech 可使执行和风险防范工作变得更加简单、快捷。申请演示,了解 Mitratech 是否适合您。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
