在经历了繁忙的年初之后,我很高兴宣布我们的第三方风险管理平台正式发布3.16版本。本文将重点介绍v3.16在工作流与自动化方面的重大更新,以及与ServiceNow等解决方案的新集成功能。 同时将回顾v3.15版本(1月发布)的新特性,包括新增评估类型和增强型API。最后,我将介绍网络安全与业务监控解决方案Vendor Threat Monitor(VTM)新增的风险洞察功能,并推出全新许可方案以助力您更高效地扩展项目规模。继续阅读了解更多详情!
任务模板助力供应商生命周期管理自动化工作流升级
供应商生命周期管理涉及诸多复杂步骤——从创建实体和变更状态,到向相关方发送特定操作提醒——这使得第三方风险管理计划难以扩展。Prevalent通过在v3.16版本中引入任务模板解决了这一难题。任务模板利用触发器(例如实体创建或评估完成)生成新的工作流任务。您可将任务触发器用于以下工作流操作:
- 通知实体所有者审核新创建的实体
- 任务完成后自动更改实体状态
- 在评估完成时通知调查审核人员
通过自动化工作流操作,您可消除手动步骤、减少错误,从而专注于需要您直接干预的优先事项。任务模板的示意图请参见下图。
任务模板生成基于触发的流程任务。
ServiceNow连接器实现第三方、IT服务及风险数据的集中管理
采用ServiceNow作为IT服务管理(ITSM)标准平台的企业,常需与其他企业解决方案集成以优化工作流和生产力。风险管理亦不例外。基于3.14和3.15版本中公布的API增强功能(详见下文),v3.16版本引入了连接器,使ServiceNow能够获取并管理Prevalent平台数据,从而实现:
- 集中管理第三方风险管理、IT服务管理及其他企业风险管理活动
- 分析第三方风险数据与其他风险数据
- 减少您需要管理的凭据和平台数量
对于在ServiceNow平台上运营业务的组织而言,此项集成至关重要。
日程安排功能增强为评估增添灵活性
评估排程通常会带来不同的工作流要求,这取决于您是首次评估新供应商,还是向现有第三方引入新评估。当需要多种评估类型时,必须具备灵活的评估排程能力以满足特定工作流需求。Prevalent平台3.15版引入了两种新型排程模式以优化流程:
- 主动评估安排,供应商可自行选择完成评估的时间,无具体截止日期或时间限制。
- 灵活的评估安排机制,要求实体在被添加到日程表时,必须在指定时间范围内完成评估。
有关新日程的示意图,请参见下图。
新增的日程类型为评估增添了灵活性。
API增强功能实现风险管理信息集中化
基于风险的决策通常需要分析来自组织内多个来源的数据。遗憾的是,企业风险管理往往陷入孤岛式运作,各种分散的工具难以有效识别、解读风险并采取行动。
3.15版本新增的API增强功能使收集和解读多风险向量数据更为便捷。借助API全新的读写能力,您现在能够集中管理并分析Prevalent第三方风险数据,同时整合来自IT服务管理和企业风险管理解决方案的信息。
供应商威胁监控2.0增强监控功能,揭示更多网络与商业风险
完善的第三方风险管理计划需要结合由内而外的内部控制评估与由外而内的网络安全及业务风险监控。然而,若评估解决方案未能实现适当的集成,评分工具便难以清晰揭示供应商活动在评估前后或评估间隙是否存在风险。企业必须能够运用持续监控机制,全面掌握供应商的业务活动及网络安全态势,从而为持续评估提供更充分的依据。
基于3.14版首次推出的评估与监控原生集成功能,Prevalent平台3.16版现已扩展覆盖范围,新增暗网监控及更多IP威胁情报。新增威胁指标包括:
- 深度/暗网泄露凭证扫描与预警
- 资产活动(例如:托管TOR网络;资产托管指挥控制;与指挥控制服务器通信;在恶意软件样本分析中检测到的IP地址;等等)
- 暗网活动(例如:犯罪分子聊天论坛;犯罪分子对暗网市场的关注等)
- 域名拼写错误抢注通知与可疑域名活动事件
- 近期报告的感染事件(例如外部威胁列表、外部蜜罐等)
- 数据泄露披露
- 近期由我们的全球威胁研究团队验证的网络攻击
现有VTM客户可通过简便的升级路径获取此解决方案,它能深入洞察潜在的第三方风险,助力您的安全与风险管理团队更主动地应对威胁。关于这些新型风险类型和事件如何影响风险评分,请参见下图所示。
新指标为风险提供了更多背景信息。
全新许可方案——从入门套件到企业级TPRM
不堪重负的供应商管理团队每天都在为各种问题而挣扎,从界定供应商身份到评估其对业务的风险程度。基于我们在协助企业建立和完善第三方风险管理计划方面的专业经验,Prevalent现为供应商团队提供全新解决方案,无论其计划成熟度处于何种阶段,都能有效管理、评估和监控第三方供应商。
- 普瑞维兰平台基础版。告别电子表格,通过普瑞维兰平台管理全球供应商群体。将平台基础版视为您实现实体管理集中化、执行供应商评估、分层管理及固有风险评估的"入门工具包"。
- 通用评估标准——PCF选项。通过采用标准化的Prevalent合规框架(PCF)内容执行评估,满足多项监管要求及安全框架的规范。 PCF是一项综合性评估,包含175余道问题,与GDPR、CCPA、NYDFS、NYMITY、SOX、HIPAA、ISO27001、NIST及SSAE18(SOC和SOC II)等通用框架和法规相对应。完成PCF评估后,组织可跨多项法规进行审查、报告和整改,大幅简化合规流程。
- 主流评估标准——定制选项。适用于希望使用自有问卷并导入平台的客户,满足特定定制化问卷需求,或需要协助构建定制化问卷的客户。
- 普瑞维伦评估专家。充分利用普 瑞维伦平台的全部评估功能,包括对标准库内容的完整访问权限以及创建自定义内容的能力。特别适合需要支持成熟的企业级风险管理计划,并要求灵活使用标准与自定义内容的客户。
借助这些新选项,风险管理团队能够通过自动化和更高的透明度来完善和扩展其交易对手风险管理计划。
希望您和我一样对这些增强功能感到兴奋!有关此版本的更多信息,请参阅《新增功能》文档 或在Prevalent客户门户上阅读《版本说明》。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
