关注持续的供应商风险监控
如果你在过去一年中参加过任何有关第三方供应商风险管理(TPVRM)的研讨会或专题讨论会,那么持续监控这一短语就会作为一项新要求经常被提及。
持续监测比不断监测要求更进一步。 在某种程度上,监管机构希望看到你的供应商审查计划有能力识别定期审查周期之外可能发生或已知的供应商问题。来自第三方关系的网络安全威胁的出现,推动了从持续监控到持续监控的转变。
持续监测
持续监控是有效的第三方风险管理(TPRM)计划的历史基础。持续监控通常从新供应商入职时开始,或基于与关系风险暴露相关的定期重新审查计划,确保供应商关系的持续可见性,以发现潜在问题。
对供应商关系的持续监控包括熟悉其业务财务状况、控制审计、连续性和弹性计划及测试、保险范围以及信息安全状况。持续监控还包括跟踪供应商的具体表现,了解贵组织对供应商的总体满意度,以及供应商是否达到了规定的产品或服务交付服务水平。
信息安全挑战
从历史上看,在持续监测下,对拥有机密组织或客户数据的供应商进行结构完善的信息安全纪律核查,其中可能包括问卷调查甚至认证,已被视为充分的尽职调查,表明任何风险暴露都已得到缓解。
另一方面,应用于信息安全的持续监控策略提高了要求,并可能提高供应商的参与度。正如新闻和新闻警报可以在非审查周期内识别第三方风险威胁一样,也需要一个类似的流程来监控和提醒您的组织受到另一个第三方信任的敏感数据的风险威胁,甚至是由您组织的 IT 基础架构维护的敏感数据的风险威胁。
我们相信,对自己的 IT 基础设施和关键供应商关系进行持续的网络安全监控是 当前行业的最佳实践,在未来 24 个月内,即使不是法规,也将成为事实上的要求。
这不仅是最佳实践,也是任何风险管理框架的明智之举。这是一个相当大胆的预测,但考虑到不良行为者的广度以及信息安全漏洞的风险和成本,这是一个合乎逻辑的结论,但前提是必须有有效的监控手段,而且价格合理,我们相信现在已经做到了这一点。
当今的业务要求能够跟上动态环境的步伐,这就决定了解决方案、要求和责任都要不断扩大。为了满足这一迫在眉睫的需求,您应该考虑采用一个功能强大的供应商风险管理(VRM)解决方案,并配备当前和未来所需的持续监控工具。
抵御供应商和企业风险
了解我们一流的 VRM/ERM 解决方案。
