管理第三方风险的五个关键要素
组织花费大量的时间和金钱来确保健壮的控制到位,以减轻技术风险. 这可以通过雇用称职的网络安全人员来实现, 执行一套强大的网络安全政策,并遵循与保护组织相关的行业最佳实践和行业标准. 然而, 许多组织没有考虑到现代技术生态系统的复杂性,以及越来越依赖第三方来支持关键业务功能. 现有的技术控制常常不能有效地解决第三方风险, 而且对于许多组织来说,这些过程并不属于IT部门.
如果供应商管理驻留在您的采购功能, 你会信任他们来管理网络安全风险吗? 对我们许多人来说,答案是响亮的“不”! 不幸的是, 许多组织没有有效的过程和控制来验证第三方控制的有效性及其对环境的潜在影响. 最近的许多数据泄露都是由于第三方控制失败造成的.g. 亚马逊E3存储桶配置错误). 第三方风险管理是所有行业标准(如ISO 27001)的主要承担者, 独联体20强, NIST CSF和金融服务万博平台app下载的网络安全要求(23 NYCRR 500).
最终, 保护敏感数据是组织的责任, 无论是内部还是第三方. 这就是为什么实施第三方风险管理程序对于确保整个技术生态系统得到充分保护至关重要. 想知道如何开始? 从以下五个要素开始:
- 识别 – 风险来源 -定义供应商评估标准和每个标准可能给组织带来的风险.
- 定义 – 评估政策-为供应商制定风险评估政策. 一个定义良好的, 可量化的供应商评估和监控标准是风险管理的关键.
- 评估– 供应商的风险 供应商风险评估应纳入您的RFQ/RFP流程. 现有的供应商应该经过(定义的)定期审查.
- 纠正 – 问题与关键供应商合作,确保整改. 遵循和补救的伙伴关系方法可以为更昂贵的供应商替代品提供更多好处.
- 维护 – 合规 -通过定期评估确保供应商持续遵守规定.
通过这些关键要素,组织可以确保始终如一地管理与第三方的风险. 一旦被识别和定义, 可以评估风险, 并在整个技术生态系统中被接受或修复. 不要让你的供应商成为下一个公开报道数据泄露的原因!