第三方关系合规性机构间指南

在建立或完善第三方风险管理计划的过程中，请考虑：

• 管理保护系统和数据的政策、标准、系统和流程
• 所有相关团队成员的角色和职责（如 RACI
• 第三方清单，以了解第三方参与的规模和范围
• 第三方分类和归类方法
• 基于组织风险承受能力的风险评分和阈值
• 基于第三方关键性的评估和监测方法
• 第四方与第N方在关键服务交付中的参与
• 持续监控数据的来源（网络、业务、声誉、财务）
• 关键绩效指标（KPI）和关键风险指标（KRI），用于评估您的项目及第三方合作伙伴
• 合规和合同报告要求
• 事件响应流程
• 内部利益相关者报告--面向管理层和董事会
• 风险缓解和补救战略

这些项目中的每一项对于制定全面的 TPRM 计划都至关重要。

基于对信息资产威胁程度的评估，通过捕捉、追踪和量化固有风险来评估和监控第三方。用于计算第三方分类固有风险的标准包括：

• 验证控件所需的内容类型
• 对业务绩效和运营的关键性
• 地点及相关法律或监管考虑因素
• 对第四方的依赖程度（避免集中风险）
• 接触过业务流程或面向客户的流程
• 与受保护数据的交互
• 财务状况和健康
• 声誉

基于此内在风险评估，您的团队可自动对第三方进行分级；设定后续尽职调查的适当层级；并确定持续评估的范围。

基于规则的分层逻辑支持第三方分类，该分类综合考虑了数据交互、财务状况、监管要求及声誉风险等多重因素。

通过监测公共及私有渠道的声誉、制裁和财务信息，持续追踪并分析第三方面临的外部威胁。

将所有监控数据与评估结果关联起来，并集中到每个第三方的统一风险登记册中，从而简化风险审查、报告和应对措施。

监测来源应包括

• 公共与私有声誉信息来源，包括并购活动、商业新闻、负面新闻、监管与法律信息、运营动态更新等。
• 环境、社会和治理（ESG）评分
• 全球新闻来源
• 政治敏感人物档案
• 全球制裁名单
• 腐败感知指数（CPI）得分
• 现代奴役声明

在评估第三方时，应建立集中化的第三方档案，其中应包含人口统计信息、实际权益人、第四类技术、ESG评分、近期业务与声誉洞察、数据泄露历史、最新监管发现及财务表现等要素。

可选方案包括分别分析这些数据的来源，或将其整合为单一视图，该视图可扩展至多个内部团队。

利用覆盖全球数百万企业的财务信息数据库，涵盖组织架构变动、财务表现、营业额、损益情况、股东权益等数据。

您的团队可通过下载财务报表单独分析这些数据来源，或将财务分析整合到更广泛的风险评估策略中。

• 包含大量标准化评估工具库（涵盖NIST和ISO标准）及灵活的定制化功能，可灵活评估第三方机构
• 内置工作流可自动识别风险（基于您根据组织风险承受能力设置的阈值），并将其分配给负责人。
• 内置补救建议以降低残余风险
• 自动化风险与合规报告

评估和持续监控的结果应整理成单一的风险登记册，并提供热图报告，根据可能性和影响对风险进行衡量和分类。有了这种洞察力，团队就能轻松了解风险的后果，并为第三方提供现成的补救建议，以降低风险。

对于提交SOC 2报告而非完整第三方风险评估的第三方，需在中央评估平台中：- 映射SOC 2报告中识别出的控制缺口- 针对该第三方创建风险项- 跟踪并报告缺陷及其他风险状况

在入职、合同续签时或按要求频率（如每季度或每年）进行第三方网络安全评估。确保评估工作由工作流、任务管理及自动化证据审查功能提供支持。

随后，通过持续监控互联网和暗网中的网络威胁与漏洞，对第三方面临的外部威胁进行追踪分析。监控来源应包括：犯罪论坛；洋葱页面；暗网特殊访问论坛；威胁情报源；泄露凭证粘贴网站；安全社区；代码仓库；漏洞数据库；以及数据泄露数据库。

将所有监控数据与评估结果关联起来，并集中到每个第三方的统一风险登记册中，从而简化风险审查、报告和应对措施。

如上文(g)所述，您可随后应用内置工作流对风险进行分级处理，并通过整改建议来应对风险。

采用基于ISO 22301标准的全面业务韧性评估，实现第三方业务韧性与连续性的自动化评估、持续监控、分析及修复。

这种方法将使您的团队能够：

• 根据第三方风险状况及其对业务的关键性进行分类
• 概述恢复点目标（RPO）和恢复时间目标（RTO）
• 集中管理系统库存、风险评估、RACI 图表和第三方
• 在业务中断期间确保与第三方保持持续沟通
  为补充业务韧性评估并验证结果：
• 实现自动化持续网络监控，可预测潜在第三方业务影响
• 获取来自公共和私有声誉信息来源的定性洞察，这些信息可能预示不稳定性。
• 通过全球企业网络获取财务信息，以识别第三方财务健康状况或运营问题

这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。

建议将第三方事件管理构建在以下行业标准框架之一上，并进行基准测试：

• NIST 800-61R2：计算机安全事件处理指南
• ISO/IEC 27035-1: 信息安全事件管理 第1部分：事件管理原则
• ISO/IEC 27035-2: 信息安全事件管理 第2部分：事件管理规划与准备指南
• OCC 2021-55：银行事件通知最终规则，发布于2021年11月23日
• OCC 2022-8：银行计算机安全事件通知的信息技术联络点，发布于2022年3月29日

第三方事件报告的关键组成部分应包括：

• 可定制的事件与事故管理问卷
• 实时跟踪问卷完成进度
• 定义风险所有者，并通过自动追逐提醒，使调查如期进行
• 主动第三方报告
• 针对每个第三方风险评级、数量、评分及标记响应的综合视图
• 工作流规则用于触发自动化操作手册，根据风险对业务的潜在影响采取相应行动。
• 来自内置补救建议的指导，以降低风险
• 内置报告模板
• 绘制数据和关系图，以确定组织与第三方之间的关系，使信息路径可视化，并确定风险数据

通过问卷调查评估或被动扫描第三方公开基础设施，识别第四方及第N方分包关系。由此生成的关系图谱将揭示可能使您的环境面临风险的信息路径与依赖关系。

通过此流程发现的第三方将接受持续监控，以识别其财务、ESG、网络安全、业务及数据泄露风险，同时进行制裁对象/重要政治人物筛查。

这种方法为解决潜在的技术或地域集中风险提供了见解。

集中管理第三方合同的分发、讨论、存档与审核流程，确保所有相关团队均能参与合同审查，以保证合同条款的完整性与规范性。

在管理第三方合同时需要考虑的主要做法包括

• 合同集中存储
• 跟踪所有合同和合同属性，如类型、关键日期、价值、提醒事项和状态，并提供基于角色的定制视图
• 工作流程功能（基于用户或合同类型），实现合同管理生命周期自动化
• 自动提醒和逾期通知，以简化合同审查
• 集中合同讨论和意见跟踪
• 合同和文件存储，具有基于角色的权限，并对所有访问进行审计跟踪
• 支持离线合同和文件编辑的版本控制跟踪
• 基于角色的权限，可分配职责、访问合同和读/写/修改访问权限

确保健全的合同生命周期管理将使组织能够有效地：

• 管理协议和绩效
• 执行信息保留、审计权条款和补救措施
• 获取合规报告
• 要求业务复原力和连续性
• 提高分包和国外第三方的能见度

在第三方生命周期的合同谈判阶段，应将可执行的服务级别协议（SLA）、关键绩效指标（KPI）及关键风险指标（KRI）纳入第三方合同，明确责任主体并持续追踪各项指标的达成进度。

区分关键绩效指标（KPI）与关键风险指标（KRI）并理解二者之间的关联关系至关重要。

• 关键绩效指标（KPI）用于衡量职能和流程的有效性。
• 关键风险指标（KRIs）表明组织面临的风险程度以及应采取哪些风险应对措施。

在衡量关键绩效指标（KPI）和关键风险指标（KRI）时，请按以下方式进行分类：

• 风险衡量有助于理解与第三方开展业务的风险，以及相关的风险缓解措施。
• 威胁测量与风险存在一定重叠，并能提供更全面且经过验证的风险视角。
• 合规性评估用于判定第三方是否符合贵公司的内部控制要求。
• 覆盖率测量旨在回答以下问题：“我是否已全面覆盖第三方足迹，且这些足迹是否已分层并得到相应处理？”

然后，务必将结果与合同条款挂钩，以实现对整个流程的全面管控。

持续追踪并分析第三方面临的外部威胁，通过监控互联网和暗网中的网络威胁与漏洞，以及公开和私有渠道的声誉、制裁和财务信息来源。

监测来源应包括

• 犯罪论坛；成千上万的洋葱页面；暗网特殊访问论坛；威胁源；以及用于粘贴泄漏凭证的网站--还有一些安全社区、代码库和漏洞数据库
• 公共与私有声誉信息来源，包括并购活动、商业新闻、负面新闻、监管与法律信息、运营动态更新等。
• 财务业绩，包括营业额、损益、股东资金等。
• 全球新闻来源
• 政治敏感人物档案
• 全球制裁名单

将所有监控数据与评估结果关联起来，并集中到每个第三方的统一风险登记册中，从而简化风险审查、报告和应对措施。

自动化合同评估与离职流程，以降低贵机构在合同终止后面临的风险。

• 安排审查合同的任务，确保履行所有义务。发布可定制的合同评估，以评估状态。
• 利用可定制的调查和工作流程，报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。
• 集中存储和管理文件与认证，如 NDA、SLA、SOW 和合同。利用基于 AWS 自然语言处理和机器学习分析的内置自动文档分析功能，确认关键标准已得到满足。
• 通过内置的补救建议和指导，采取可行措施降低第三方风险。
• 通过将评估结果自动映射到任何法规或框架，可视化并满足合规要求。