供应商风险评估是每个有效第三方风险管理计划的核心支柱。理论上,评估的基本要素不难确定。然而实践中,有效理解和评估第三方控制措施的能力往往与可用于执行评估的资源存在冲突,且因需快速完成评估以最终确定合同并启动项目而受到进一步制约。
这种做法往往导致安全评估仅基于资源可用性和时间限制来执行,而非对必要的安全控制措施进行适当审查。
更添复杂性的是,扩大第三方评估的压力与日俱增。监管机构已大幅提高第三方评估要求。美国货币监理署(OCC)现要求企业在管理第三方风险时,需全面审视供应商的生命周期(OCC 2013-29)。 美国联邦金融机构检查委员会(FFIEC)近期新增要求,企业须将供应商业务连续性计划评估纳入评估流程(FFIEC检查手册附件J)。医疗监管机构也加入要求行列,将全面安全风险分析纳入《HITECH法案》/综合规则的实施范畴。
行业标准也日益重视第三方安全。PCI DSS 3.0(12.8.2)及ISO 27001/2最新版本要求对第三方安全控制措施进行全面评估。美国国家标准与技术研究院(NIST)亦要求在符合NIST标准(SP 800-39)时评估第三方信息安全风险。
彻底的第三方评估具有非常实际的必要性,因为第三方正日益成为犯罪分子的攻击目标,并持续成为数据泄露事件的主要根源。犯罪分子不再试图突破大型企业网络(这些网络通常防护严密),而是寻找安全链条中最薄弱的环节——而这个环节往往正是第三方供应商。
对更全面第三方评估日益增长的需求,必然要求扩大资源投入、增加预算并延长完成周期。这些需求与实际存在的预算和人员限制形成矛盾,也与业务部门需要将新型(通常基于网络/云端)产品及服务推向市场的节奏相悖。那么,如何在不大幅增加评估成本和时间的前提下,满足对第三方风险控制更全面评估的日益增长的需求?
第一步是全面了解您的评估工作流程,并明确所有信息需求——包括内部与外部需求。随后需识别那些高度依赖人工操作的环节。简单来说,在手动环境中有效管理评估工作既困难又几乎不可能实现。 从启动评估、收集信息,到管理工作流程并建立集中存储库以管理所有评估相关活动,众多行业应用程序能够实现评估流程自动化,为不堪重负的流程和资源提供显著缓解。
此外,请务必避免重复造轮子。现有多种评估框架可供使用,既能完善现有项目,也能为新项目提供快速启动方案。美国国家标准与技术研究院(NIST)、健康信息信任联盟(HITRUST)以及支付卡行业数据安全标准(PCI)均提供了框架控制措施和问卷调查工具。
在ISACA网站上查看原始博客文章 此处。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
