第三方风险管理：重法规，轻结果

编者按：本文由Prevalent首席运营官兼首席安全官Brad Hibbert撰写，最初发表于www.sdcexec.com。

每日新闻推送中充斥着第三方数据泄露事件，这些事件给企业和消费者都造成了严重的财务影响。此类泄露事件必然会引起政府监管机构的关注，各机构纷纷出台各自版本的强制性最佳实践和管控措施，以防止类似事件再次发生（或至少最大限度地减轻其影响）。

然而，尽管第三方安全事件频发，监管机构也提供了各种"帮助"，企业仍难以有效管控第三方风险。让我们探究原因，并探讨企业如何切实解决第三方风险问题。

法规层出不穷

以下是一些最具活力的行业、区域及非IT监管制度，它们都设有专门条款，旨在改善企业对第三方关系的治理。

行业级

金融服务与银行业在要求组织对第三方关系实施治理方面处于领先地位。相关法规包括美国货币监理署（OCC）、联邦金融机构检查委员会（FFIEC）、英国审慎监管局与金融行为监管局（FCA）以及欧盟银行业管理局的监管要求。 即便在这个成熟领域，也出现了旨在协调监管要求的全新举措，跨机构指导意见便是典型例证。

区域性

另一层监管属于区域性法规。针对在这些地区开展业务的组织，英国设有国家网络安全中心（NCSC）的第三方要求；欧盟通过《通用数据保护条例》（GDPR）规范第三方数据治理；新加坡则由金融管理局及《个人数据保护法》（PDPA）进行监管。

非IT

尽管第三方数据泄露事件占据了头条新闻，监管机构正将目光投向更关键的问题：企业的供应链生态系统如何影响气候变化、是否存在受贿腐败风险、是否使用童工。英国《现代奴隶制法案》、德国《供应链尽职调查法》以及欧盟《企业社会责任指令》（CSRD）均包含重要条款，要求企业定期进行此类报告和认证。

组织持续陷入困境的五大原因

尽管受到诸多审查，为何企业仍难以有效管控第三方风险？究其原因，主要有以下五点：

1) 这是个棘手的组织问题

Prevalent公司2022年交易风险管理研究数据显示，50%的企业由IT安全部门负责交易风险管理，而22%的企业由采购团队负责。若缺乏明确的责任主体，如何确保所有风险得到评估与处理？

2) 电子表格

大多数组织仍在使用电子表格评估第三方供应商——且这一比例持续攀升。如何在电子表格中追踪所有供应商、提出关键问题、记录答复并进行评分？

3) 每个供应商都是独一无二的

一刀切的方法很少能适用于所有供应商，因为他们通常需要与不同的系统或数据集交互，或提供范围各异的服务。评估供应商给TPRM负责人带来了负担。若缺乏标准化（例如参照行业标准的最佳实践原则），混乱局面便会蔓延。

4) 风险管理计划（TPRM）在资源配置和优先级方面起伏不定，且成效难以衡量。

由于供应商风险管理（TPRM）既涉及流程与人员，又关乎技术，因此很难为其优先配置预算提供充分依据。只要安排几位供应商经理至少评估高优先级供应商，不就完成了基本要求吗？

5) 补救措施很少得到执行

让供应商完成问卷并提交证明材料已属不易，更遑论采取实际行动。但关键在于……除非供应商主动弥补其安全或合规漏洞，否则这些漏洞将持续暴露于攻击风险中。这意味着贵组织始终处于被利用的危险境地。

该怎么办

以下是四项可立即着手实施的措施，以使第三方风险监管报告流程更易于管理：

1. 首先，将第三方风险审查、评估及审计权纳入供应商合同条款。设定响应服务水平协议（SLA），并制定证据、证明及报告的具体规范，否则监管机构紧盯不放时，你将陷入疲于奔命的境地。
2. 实施单一系统，将内部团队整合到统一数据源——即单一第三方数据库之下。这将使您能够集中管理第三方档案与分级体系，并为项目设定长期风险降低目标。
3. 建立标准评估与持续监控流程，实现供应商间的有效比对。协同采购、法务等利益相关方界定评估范围与周期。该流程的附加效益在于：当贵机构（或第三方）遭遇数据泄露或其他运营中断时，将形成更完善的响应框架。
4. 获取整改支持。在明确第三方风险范围、项目规模及目标后，可研究技术供应商和/或托管服务，以助您按时达成既定目标。此类解决方案能推动第三方风险管理（TPRM）工作顺利完成，并从合规角度彻底解决所有遗留问题。

第三方风险管理措施能够取得成效。通过采取以下步骤，逐步推进第三方治理的完善。您的团队会感激您，而监管机构嘛，他们终究还是监管机构。

编者按：本文最初发表于Prevalent.net。2024 年 10 月，Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后，我们对内容进行了更新，以纳入与我们的产品、监管变化和合规性相一致的信息。