在法律行业,保护"静态存储"和"传输中"的文件是至关重要的控制目标。涉及客户取证、签名、证据及法庭文件的记录,必须保持无可挑剔的保管链才能在法庭上成立。因此,当律所委托第三方处理、托管、加工或存储法律文件时,所有相关方都必须遵守合规标准,这些标准要求实施访问管理和数据传输管理等安全控制措施。
鉴于律师事务所代客户管理的大量敏感数据,其频频成为网络犯罪分子的攻击目标也就不足为奇了。最近,当两家律所使用的文件传输供应商Accellion报告遭黑客入侵后,其客户数据也随之泄露,琼斯·戴 和高伟绅律师事务所便成了最新的受害者。
供应商风险情报网络如何助力律所提升网络安全防护能力
仅靠收集静态的安全问卷答复或对供应商进行单点威胁情报报告,无法有效保护客户和律所——尽管这些都是必不可少的步骤。 风险分析必须更具动态性。正因如此,律所常选择加入行业网络,以交换供应商安全控制信息并共享漏洞情报——从而守护整个法律界的利益。成为网络成员既能提升参与者的安全态势,又使第三方风险管理成为团队协作的共同事业。
三步提升贵司第三方尽职调查能力
网络为律师事务所带来了巨大的风险管理价值。请对照以下三项建议评估现有实践,确保贵所对第三方实施了适当的尽职调查。
1. 实施供应商预筛选
供应商预筛选能揭示疏于安全管理的操作行为,这些行为可能预示未来风险。第三方风险网络通过维护已完成的风险档案库,使预筛选工作变得轻松,并简化了供应商对比流程。这些风险档案通常由供应商通过行业公认的标准化问卷填写(便于供应商对比),随后借助实时网络安全风险评分进行验证,以捕捉现场的重要更新。最终,风险档案将共享给整个社区以供参考。
2. 将评估工作移交给专家
贵公司很可能缺乏资源或专业能力来对接、管理和评估所有第三方供应商。让风险管理专家全权处理各项事务——从开展评估、收集尽职调查材料、跟进供应商,到审核回复内容及证据的准确性与相关性——可为您的团队节省时间和资金。此举将行政负担转移给他人,使您的团队能够专注于高价值的风险管理和整改工作。
3. 实现合规映射与报告自动化
超过50%的企业依赖电子表格管理供应商——若您正试图通过电子表格来报告和管理供应商风险或合规性,想必深知其中的痛苦。供应商风险网络能够自动将风险评估结果映射至特定的监管和行业框架要求,助您快速验证合规性或证明整改措施的合理性。
下一步工作
您可加入Prevalent法律供应商网络,成为该法律风险管理社区的一员,共同降低第三方风险。若想了解Prevalent如何助力您的律所优化供应商尽职调查流程,请观看我们的点播网络研讨会《律所五大第三方风险及应对策略》,或立即联系我们安排战略咨询会议。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
