制定第三方风险管理政策:最佳实践指南

了解第三方风险管理 (TPRM) 政策如何保护贵组织免受供应商相关风险的影响。

Mitratech 员工
Mitratech 员工 11月8,2024 阅读时间10分钟
Decorative image

第三方关系至关重要,但也可能带来重大风险,影响组织的运营、数据安全和合规性。健全的第三方风险管理 (TPRM) 政策为识别、监控和降低这些风险奠定了基础。本博客解释了定义明确的 TPRM 政策的重要性,分解了其关键组成部分,并提供了政策制定和实施的最佳实践建议。

什么是第三方风险管理政策?

第三方风险管理(TPRM)政策是一套记录在案的准则,用于指导组织如何处理来自供应商、供货商和合作伙伴的风险。它帮助组织建立评估、监控、减轻和报告这些风险的程序。这些政策为建立健全有效的 TPRM 计划奠定了基础。

TPRM 政策为何重要

许多组织都曾因第三方、第四方甚至第 N 方的违规行为而面临重大破坏和法律后果。薄弱的第三方风险管理实践可能会对贵公司的数据和供应链构成生存威胁。第三方风险管理政策概述了清晰、标准化和可操作的程序,以支持更强的风险管理实践。管理和降低供应商风险的定义明确的流程是保护您的运营免受当今威胁的关键措施。

第三方数据和供应链威胁

随着第三方风险变得越来越复杂和广泛,企业需要制定政策来最大限度地降低与供应商相关的风险,并制定程序来在事件发生时进行管理。面对庞大的供应商网络和横跨多个部门的第三方关系,风险管理政策必须切实可行,与组织目标保持一致,并适用于各种风险类型和第三方生命周期的各个阶段。

第三方供应商风险管理政策的主要内容

一套明确的政策可以加强您的第三方风险管理实践,并在整个尽职调查和供应商生命周期中优先考虑风险。全面的第三方风险管理政策应涉及以下内容:

  • 目的 - 说明建立或重组第三方风险管理计划的目的。
  • 角色与职责--确定主要利益相关者、决策者以及负责实施和管理供应商风险活动的人员。
  • 合规要求 - 确保您的政策符合主要的第三方风险合规法规和供应商网络的监管要求。
  • 风险容忍度或胃口 - 界定贵组织可接受和不可接受的风险水平。考虑将第三方风险承受能力声明作为 TPRM 政策的基础。点击此处阅读我们的相关指南。
  • 风险管理流程和程序 - 概述第三方风险管理计划的关键要素,如
    • 风险识别
    • 尽职调查和评估
    • 风险评估
    • 合同管理
    • 持续监测
    • 事件管理
    • 终止程序

在第三方风险管理政策中满足合规要求

在开始撰写第三方风险管理政策之前,请先审核您的内部合规措施和监管要求。在起草政策时,请考虑相关的地区性法规(如 CCPA 和 GDPR)、国际公认的框架(如 NIST 和 ISO 标准)以及特定行业的法规(如 HIPAA 和 PCI DSS)。

需要考虑纳入 TPRM 政策的法规要求可能包括

加州消费者隐私法 (CCPA):对消费者数据的收集和销售进行监管,以保护加州居民的敏感个人信息,并赋予他们对信息使用的控制权。

云安全联盟 CAIQ:用于记录安全控制的行业标准问卷,有助于对 IaaS、PaaS、SaaS 和其他云提供商进行安全评估。

网络安全成熟度模型认证(CMMC):美国国防部的一个框架,旨在确保国防工业基地免受网络攻击,并确保国防供应链具有弹性。

欧洲银行管理局(EBA)外包安排指南:规定了欧洲银行业外包的具体管理和监督要求。

FCA FG 16/5:英国指南,帮助金融公司监督外包安排的各个阶段。

FFIEC IT 考试手册:为联邦金融机构审查制定统一的原则和标准,包括信息技术主题。

一般数据保护条例》(GDPR):规范欧盟公民个人数据的使用、移动和保护,适用于全球处理欧盟数据的组织。

HIPAA:确保敏感健康信息(PHI)受到保护,未经患者同意不得披露。

国际标准化组织标准:这些标准包括 ISO 27001、27002 和 27036-2,为管理和改进信息安全制定了国际标准。

第三方关系机构间指南:美国联邦银行机构为统一银行业供应商关系风险管理而制定的指南。

NERC CIP:电力公司网络安全标准,以维护大容量电力系统 (BES) 的可靠性。

NIST:提供 NIST 800-53、NIST 800-161 和网络安全框架 (CSF) 等出版物,帮助组织管理供应链风险。

纽约神盾局法案:要求处理纽约居民个人数据的机构改进网络安全和违规通知程序。

NY CRR 500:规定了纽约金融服务的网络安全要求,重点关注客户数据保护和 IT 系统完整性。

PCI DSS:保护持卡人数据安全的全球标准,适用于所有存储、处理或传输数据的实体。

SOC 2:行业标准框架,用于证明系统和数据的保密性、完整性和可用性。SOC 2 审计用于内部控制报告和基础设施、软件、人员、程序和数据的保障措施报告。

了解您的监管环境

在设计政策和程序时,应考虑影响业务运营的广泛合规要求。例如,如果贵公司处理受保护健康信息 (PHI),则第三方风险管理政策应规定如何以及何时与其他组织共享此信息。根据HIPAA 规定,第三方以及任何其他相关方在处理 PHI 时必须采用与贵公司相同的保障措施。不遵守规定可能会导致贵机构和任何业务合作伙伴被处以巨额罚款。

许多信息安全要求严格限制您可以与第三方共享的数据类型。请务必考虑个别业务部门的具体要求。例如,GDPR对存储、保护和传输来自欧洲国民的数据做出了严格规定。在很多情况下,只有一个部门可以处理欧洲数据。与其依赖行业假设,不如评估整个组织收集的数据类型和数量,以确定准确的合规需求。

在政策中明确规定与第三方共享哪些信息、共享时间以及保护协议。要求处理敏感数据的第三方机构遵守 SOC 2 或 HIPAA 等标准可以加强安全性。如果没有这些保障措施,一旦发生第三方数据泄露,您将面临不符合监管要求和潜在声誉受损的风险。在与任何第三方共享敏感信息之前,一定要进行彻底的尽职调查

第三方尽职调查失误

根据广泛接受的标准制定第三方风险管理政策

幸运的是,您不需要自己制定所有控制措施。在规划第三方风险管理计划时,您可以借鉴广为接受的第三方风险管理框架 ,如NIST SP 800-161共享评估 TPRM 框架

预建框架为第三方风险管理政策中应包含的控制措施提供了很好的指导。第三方风险的形式多种多样。通过遵守经过实战检验的框架,您可以确保供应商风险管理的全面性。

此外,您还可以利用其他框架,如NIST CSF 2.0ISO 27036,来帮助您设计供应商风险评估问卷。调查问卷对供应商风险管理生命周期至关重要,所有新服务供应商都必须填写。第三方风险管理政策应规定业务部门必须管理安全问卷的方式和时间,并定义可接受的残余风险水平。

我们建议您查看共享评估和 NIST 800-161,以帮助您规划计划的外观和值得包含的控制类型。然后,您可以从标准信息安全框架中挑选具体的控制措施。通常情况下,美国的企业依赖 NIST,而欧洲、亚洲和非洲的企业则倾向于选择 ISO。

要求第三方文件标准化

在处理与第三方的关系时,确保贵组织根据一套标准文件进行操作。保密协议、第三方风险调查问卷和服务水平协议(SLA)应在整个采购生命周期中保持统一。在创建组织的供应商风险评估问卷时,标准化尤为重要。如果没有标准化的供应商评估流程,就无法根据不同供应商对企业造成的风险程度对其进行比较。

TPRM 的文件

第三方风险政策应要求根据第三方供应商的风险等级对其进行评估,并要求在高风险供应商加入供应链之前对其进行补救。在整个业务关系中持续监控供应商的网络安全、运营和合规风险。企业在入职时风险较低,并不意味着以后也会如此。

在风险政策中考虑第四方

拥有广泛第三方承包商网络的大型企业尤其容易遭受安全风险。当第三方分包给第四方时,任何层面的薄弱安全措施都可能将企业的数据暴露给恶意行为者。犯罪集团往往会利用这些扩展网络中的漏洞,通过分包商获取敏感信息。

为降低这些风险,与供应商签订的合同必须包含有关第四方的条款。如果允许第三方供应商分包,服务水平协议应要求第四方遵循与主机构相同的网络安全准则。如果第四方导致数据泄漏,即使公司并不知情,监管机构仍可追究公司责任并处以罚款。

供应商风险政策核对表

以下是一些建议纳入第三方风险管理政策的控制措施:

一般情况

  • 要求供应商在入职前完成标准化的风险评估问卷。

  • 利用剖析和分层,建立一致的供应商评估方法。

  • 对固有风险和残余风险进行评分和跟踪,以确定构成最大风险的供应商。

  • 入职后持续监控供应商。

  • 定期重新评估供应商,以评估风险水平的变化。

  • 利用工作流程和票据自动进行沟通。

  • 使用灵活的风险权重来明确个别风险的重要性。

合规性

  • 在入职前评估第三方供应商的合规性问题。

  • 记录并保留与第三方共享的所有数据。

  • 要求持有组织数据的第三方在访问敏感信息前纠正不合规的做法。

  • 通过广泛的信息来源监控业务发展,以识别监管、声誉或法律风险。

  • 建议要求供应商在入职前获得信息安全认证。

信息安全

  • 在整个合同期内持续监控供应商的网络安全风险。

  • 在合同中要求供应商将任何安全漏洞或疑似漏洞通知组织。

  • 彻底审查供应商的安全政策,并与问卷答复进行交叉检查。

  • 确保供应商在合同终止时删除所有组织数据。

  • 在所有第三方合同中加入明确的数据保护条款。

  • 触发行动,如通知、任务、风险评分调整和加速缓解。

  • 将供应商网络和业务事件数据转化为可操作的风险,实现实时可见性。

  • 维护统一的风险登记册,将网络和业务风险与评估结果关联起来,验证供应商控制数据。

  • 利用深网/暗网网络监控获取实时风险情报。

业务

  • 要求供应商更新关键人员、财务和其他影响供应链的因素。

  • 让各部门向中央存储库提交供应商数据。

  • 高风险供应商必须将风险补救到可接受的水平,以保持合作关系。

  • 在合同中规定第三方供应商必须遵守离职程序,包括归还设备和徽章以及删除敏感信息。

  • 在起草服务水平协议和其他重要合同时,考虑到第四方及其他因素。

第三方风险管理政策与实践 下一步工作

通过采用第三方风险控制策略和程序,贵组织可以驾驭复杂的供应商风险,支持更强大的安全实践,并在供应商生命周期的各个阶段保持合规性。利用专门的 TPRM 解决方案来简化和自动化这些关键流程。

了解如何利用 Prevalent 简化第三方风险管理。立即预约策略电话或演示

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。