管理第三方风险的五大要素
组织花费大量的时间和金钱来确保有效的控制来降低技术风险. 这可以通过雇佣胜任的网络安全人员来实现, 执行一套强有力的网络安全政策,并遵循与保护组织相关的行业最佳实践和行业标准. 然而, 许多组织没有考虑到现代技术生态系统的复杂性以及对第三方支持关键业务功能的日益依赖. 现有的技术控制经常不能有效地解决第三方风险, 对于许多组织来说,这些过程并不属于IT部门.
如果供应商管理属于您的采购职能, 你相信他们能够管理网络安全风险吗? 对我们许多人来说,答案是响亮的“不”! 不幸的是, 许多组织没有有效的过程和控制来验证第三方控制的有效性和对其环境的潜在影响. 最近的许多数据泄露都是由第三方控制失败(e.g. Amazon E3桶的错误配置). 第三方风险管理是所有行业标准(如ISO 27001)的主要租户, 独联体前20名, NIST CSF和金融服务万博平台app下载的网络安全要求(23 NYCRR 500).
最终, 保护敏感数据是组织的责任, 无论是在内部还是与第三方. 这就是为什么实施第三方风险管理计划对于确保整个技术生态系统得到充分保护至关重要. 好奇如何开始? 从以下五个要素开始:
- 识别 – 风险来源 -定义供应商评估标准以及每个标准可能给组织带来的风险.
- 定义 – 评估政策-为供应商定义风险评估政策. 一个定义良好的, 定量衡量供应商评估和监控标准是管理风险的关键.
- 评估– 供应商的风险 供应商风险评估应纳入RFQ/RFP流程. 现有的供应商应该进行(定义的)定期审查.
- 纠正 – 问题-与重要供应商合作,确保补救. 对法规遵循和补救的合作方式可以为成本更高的供应商替代提供更多好处.
- 维护 – 合规 通过定期评估,确保供应商的持续遵从.
通过这些关键因素,组织可以确保与第三方的风险得到一致的管理. 一旦确定和定义, 可以评估风险, 并在整个技术生态系统中接受或修复. 不要让你的供应商成为下一个被公开报告的数据泄露者!