医疗行业正面临着源自供应商关系的网络攻击威胁,且这种威胁正急剧升级。电子健康记录的快速普及使患者信息数字化,健身追踪器和心脏起搏器等物联网(IoT)设备的广泛应用,以及对业务合作伙伴关键职能的依赖,都使问题更加严峻。随着技术和业务关系的快速变化,医疗组织面临的风险将持续增加。
近期几起备受瞩目的数据泄露事件生动地说明了这种风险,例如美国医疗收款机构(AMCA) 和HCA医疗保健公司的事件中,业务合作伙伴的安全控制措施不足导致数百万患者记录遭到泄露。
尽管已有《健康保险流通与责任法案》(HIPAA)等既定法规以及NIST SP 800-66等风险管理框架,医疗机构仍持续面临第三方数据泄露问题,导致巨额罚款和监管审查。此外,现代医疗安全与风险管理团队还需应对复杂的第三方风险管理(TPRM)挑战,例如供应商信息孤岛化及评估方法不足等问题。
本文将阐述医疗机构识别、管理和降低第三方业务合作伙伴风险的8个关键步骤。此外,我们将探讨采用主动式流程驱动方法实施医疗安全与第三方风险管理(TPRM)可能带来的成效。
八步提升第三方风险管理效能
企业应采取明确步骤来识别、管理和降低业务合作伙伴风险。这些步骤将帮助贵组织在供应商生命周期中更主动地实施业务合作伙伴风险管理计划。
1. 将风险管理要求纳入业务合作伙伴合同
为主动提升医疗保健第三方风险管理(TPRM)计划,请实现合同生命周期的自动化管理。这确保关键数据安全与隐私条款自始至终得到有效执行与追踪。 通过采用自动化合同生命周期管理方法,可确保业务合作伙伴合同明确界定责任范围及审计权条款。此外,该方法还能以高效方式追踪管理服务水平协议(SLA)、关键绩效指标(KPI)及关键风险指标(KRI)。 此阶段需重点确保合同生命周期管理能力与第三方风险管理平台深度集成。如此便能实现从签约到风险评估的全流程无缝供应商管理,所有内部人员均可依据职责查看并管理合同与风险。
2. 建立所有第三方供应商的集中化清单
集中管理第三方供应商和供货商的清单,以实现医疗业务合作伙伴风险管理的有效治理,最大限度降低未经授权的供应商关系影响IT运营的风险。通过集中化系统(而非电子表格)开展供应商清单管理,使多个内部团队能够参与供应商管理,并实现流程自动化,从而惠及所有相关方。
首先通过电子表格模板或API连接现有采购系统,将供应商导入第三方风险管理解决方案。借助集中式可定制的录入表单及关联审批流程,让企业团队能无缝录入关键供应商信息。此用户友好功能可通过电子邮件邀请访问,无需专业培训即可使用。
随着所有服务供应商的整合,需创建包含业务合作伙伴人口统计信息、第四类技术、ESG评分、近期商业洞察、声誉详情、数据泄露历史及财务表现的综合档案。这种集中化方法可提升企业整体风险意识,为采购团队提供有价值的背景信息,助力其做出明智的采购与选择决策。此方法还具有额外优势——组织无需再维护提供孤岛式数据的独立系统,从而实现成本节约。
3. 构建业务关联方地图以确定技术集中度风险
在构建安全清单的过程中,需精准定位业务合作伙伴生态系统中的第四类技术,以发掘可能对组织构成集中风险的潜在关联。此步骤对于可视化攻击者可能利用的潜在攻击路径至关重要,有助于主动缓解或修复漏洞。可通过定向评估或被动扫描实现该目标。
例如,若您掌握了使用受损软件工具的业务合作伙伴地图,便可优先评估供应商,尤其要重点关注顶级供应商或业务关键型供应商。这种优先级排序确保了任何潜在的恶意软件暴露风险都能得到全面评估,并战略性地聚焦于那些运营中断可能对贵组织造成更显著影响的供应商。
4. 开展详细的固有风险评估,以确定业务合作伙伴的优先级
在将业务关联方集中管理并建立关联图谱后,需开展固有风险评分评估。用于计算固有风险的评估标准包括:
- 用于验证控制措施所需的内容类型(例如数据隐私、财务偿付能力等)
- 地点及相关法律或监管要求(例如《通用数据保护条例》(GDPR)、《健康保险流通与责任法案》(HIPAA)等)
- 对业务绩效和运营的关键性
- 接触运营或面向患者的流程
- 受保护健康数据的交互
- 对第四方的依赖程度
- 财务状况和健康
- 声誉
基于此内在风险评估,您的团队可自动对供应商进行分级,设定相应的尽职调查深度,并根据供应商对业务构成的风险程度确定持续评估的范围。
5. 评估业务合作伙伴的韧性与业务连续性计划
作为常规安全与数据隐私尽职调查流程的一部分,还需通过符合供应链安全行业标准(如NIST 800-161和ISO 27036)的定向供应商风险问卷评估业务合作伙伴。这些评估结果将帮助您锁定所需的整改措施。应选择具备工作流自动化、全面审查分析、证据管理支持及内置整改建议功能的解决方案,以高效弥补安全漏洞。
在评估过程中,要求软件供应商提供软件物料清单(SBOM)。SBOM不仅详细列明构成软件的各个组件,还能阐明软件开发过程中采用的质量保证(QA)和安全评估流程。这将在下文第7步所述的事件响应过程中发挥重要作用。
6. 持续监控业务合作伙伴的网络攻击情况
主动管理业务合作伙伴风险意味着时刻警惕下一次攻击——这要求您的团队持续搜寻即将发生的安全事件的预警信号。关键监控领域包括:犯罪论坛、洋葱网页、暗网特殊访问论坛、威胁情报源、泄露凭证粘贴网站、安全社区、代码仓库以及漏洞与黑客攻击/数据泄露数据库。
为简化此流程,建议采用整合所有风险洞察并实现全企业范围呈现的解决方案。这种整合方法有助于将监控数据与评估结果相关联,并为每个供应商建立统一的风险登记册。此类集成不仅提升了风险审查、报告及响应措施的效率,还能通过消除冗余软件许可降低成本。
此外,确保将第三方运营、声誉及财务数据整合到业务合作伙伴监控体系中。此项纳入为网络安全发现提供背景信息,并能衡量事件随时间推移对业务产生的影响。
7. 测试您的第三方事件响应计划
自动化事件响应是缩短平均检测时间(MTTD)和平均响应时间(MTTR)的关键,这有助于降低第三方事件对业务运营的影响。建议采取以下措施构建更主动的第三方事件响应模型:
- 利用集中化的事件与事故管理问卷,缩短响应时间,并简化及标准化评估流程。
- 实时追踪问卷完成进度,以降低潜在影响
- 使业务合作伙伴能够主动上报事件,以补充背景信息并加快响应速度
- 使用工作流规则触发自动化操作手册,根据风险对业务的潜在影响采取相应措施。
- 向供应商发布问题整改指导,协助其将风险控制在贵组织可接受的水平
通过将第三方事件响应集中到单一的企业事件管理流程中,您的IT、安全、法律、隐私和合规团队能够有效协同工作,从而降低风险。
8. 评估离职业务伙伴的风险
与贵组织终止合作关系的商业伙伴仍可能带来重大风险——若其离职流程未妥善执行。请主动建立离职管理程序,以降低贵组织在合同终止后面临的风险敞口。
关键步骤包括:
- 安排任务定期审查合同,确保所有义务均已履行,并使用可定制的合同评估工具来评估合同状态。
- 利用可定制的调查和工作流程,报告系统访问、数据销毁、访问管理、所有相关法律的合规性以及最终付款情况。
- 集中存储和管理文件及认证文件,例如保密协议、服务水平协议、工作说明书和合同。
- 必要时实施补救措施以保护公司
- 通过将评估结果自动映射至现有法规或框架,可视化并解决任何剩余的合规要求
务必使用经过验证的离职检查清单,确保所有任务均依据贵组织的风险管理优先级得到妥善处理。
健康第三方业务合作伙伴风险管理计划的成效
在商业伙伴风险管理计划中采取更主动的态度,将带来多重益处。
更快识别症状
通过自动化处理业务合作伙伴的签约、入职、风险评估及监控流程,您的团队可大幅缩短通常需要手动收集、分析信息并采取行动的时间。这意味着您能在合作初期或网络攻击发生时更早识别潜在风险,从而及时采取应对措施,最大限度降低负面影响。
准确诊断潜在病因
通过集中管理第三方网络安全、运营、声誉及财务情报——无论是在入职阶段还是持续监控过程中——您的团队能够将多源情报与评估结果进行关联分析,识别潜在风险隐患,并对高优先级风险采取行动。同时,这也有助于简化审计报告流程。
通往健康的既定路径
通过自动化补救措施、证据审查和补偿性控制,采取更主动的业务合作伙伴风险管理方法,可确保第三方对其风险采取符合贵组织要求的管控措施,并建立业务韧性实践以有效应对运营中断。
医疗机构通常依赖数百家第三方供应商提供关键支持服务。第三方存在的漏洞可能严重危及患者护理,因此医院必须建立一套流程来识别、分析并缓解此类风险。
医疗保健第三方风险管理的下一步行动
收集准确信息以分析贵机构业务合作伙伴的安全状况,是实施有效第三方风险管理计划的关键。欲了解Prevalent如何助力您的医疗机构设计贯穿供应商生命周期的风险缓解方案,请立即下载白皮书《医疗行业第三方风险管理成功八步法》,或申请产品演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
