什么是供應(yīng)商風(fēng)險(xiǎn)管理(VRM)?
      
                                    
                                
      
                                
      
                                    
      在組織將重要業(yè)務(wù)流程外包給第三方供應(yīng)商的威脅環(huán)境中,供應(yīng)商風(fēng)險(xiǎn)管理變得越來(lái)越重要。畢馬威 2022 年的一項(xiàng)研究發(fā)現(xiàn),73% 的受訪者在過(guò)去三年中至少經(jīng)歷過(guò)一次由第三方造成的重大破壞?,F(xiàn)有的供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃為您的組織提供了一個(gè)可訪問(wèn)、一致且可擴(kuò)展的框架,用于監(jiān)控和管理供應(yīng)商風(fēng)險(xiǎn)敞口。它還允許組織主動(dòng)識(shí)別和補(bǔ)救潛在風(fēng)險(xiǎn),并確保在發(fā)生網(wǎng)絡(luò)攻擊時(shí)業(yè)務(wù)連續(xù)性。本文詳細(xì)介紹了如何使用風(fēng)險(xiǎn)管理最佳實(shí)踐來(lái)實(shí)施有效的供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃。
      

      什么是供應(yīng)商風(fēng)險(xiǎn)管理(VRM)?-南華中天
      

      什么是供應(yīng)商風(fēng)險(xiǎn)管理 (VRM)?
      

      供應(yīng)商風(fēng)險(xiǎn)管理 (VRM)管理和監(jiān)控來(lái)自第三方供應(yīng)商和服務(wù)提供商的風(fēng)險(xiǎn)。VRM 是您組織的信息風(fēng)險(xiǎn)管理和更廣泛的風(fēng)險(xiǎn)管理流程的關(guān)鍵要素,因?yàn)樗翘幚淼谌斤L(fēng)險(xiǎn)的整體方式。
      

      供應(yīng)商給組織帶來(lái)的主要風(fēng)險(xiǎn)包括:
      

        

      • 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
        • 

      • 操作風(fēng)險(xiǎn)
        • 

      • 法律、監(jiān)管和合規(guī)風(fēng)險(xiǎn)
        • 

      • 聲譽(yù)風(fēng)險(xiǎn)
        • 

      • 財(cái)務(wù)風(fēng)險(xiǎn)
        • 

      

      什么是供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃?
      

      供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃是使組織能夠?qū)嵤┯行У牡谌斤L(fēng)險(xiǎn)管理和緩解政策的正式流程和程序。有效的第三方風(fēng)險(xiǎn)管理計(jì)劃應(yīng)涵蓋供應(yīng)商生命周期的所有階段,包括供應(yīng)商風(fēng)險(xiǎn)評(píng)估、供應(yīng)商入職和供應(yīng)商離職,并概述事件響應(yīng)計(jì)劃。VRM 計(jì)劃還應(yīng)包括確保供應(yīng)商滿足內(nèi)部和法規(guī)遵從性要求的框架。
      

      為什么供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃很重要?
      

      VRM 計(jì)劃很重要,因?yàn)樗鼈兪菇M織能夠識(shí)別、管理和減輕整個(gè)供應(yīng)商生態(tài)系統(tǒng)中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),包括第三方和第四方風(fēng)險(xiǎn)。PCI DSS、HIPAA、NIST SP 800-171和ISO 27001等許多法規(guī)將其合規(guī)性要求擴(kuò)展到組織的第三方供應(yīng)商。不合規(guī)的供應(yīng)商可能會(huì)對(duì)組織造成直接的法律、財(cái)務(wù)和聲譽(yù)損害——即使是遵守最嚴(yán)格監(jiān)管合規(guī)標(biāo)準(zhǔn)的組織。同樣,即使網(wǎng)絡(luò)安全事件發(fā)生在供應(yīng)商手中,組織也要對(duì)泄露敏感信息負(fù)責(zé)。
      

      什么是供應(yīng)商風(fēng)險(xiǎn)管理(VRM)?-南華中天
      

      如何創(chuàng)建有效的供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃
      

      組織可以按照以下步驟建立強(qiáng)大的供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃。
      

      步驟 1. 編寫(xiě)供應(yīng)商風(fēng)險(xiǎn)管理文檔
      

      組織必須制定適當(dāng)?shù)墓?yīng)商風(fēng)險(xiǎn)管理文檔,以包含在信息安全策略中。如果沒(méi)有可使用的現(xiàn)有 VRM 文檔,合規(guī)團(tuán)隊(duì)可以從一個(gè)大致的大綱開(kāi)始,作為一個(gè)腳手架策略。一旦更好地定義了流程和程序,團(tuán)隊(duì)就可以添加更多細(xì)節(jié)。
      

      在信息安全和整個(gè)組織的背景下,最終確定的文件應(yīng)明確利益相關(guān)者在供應(yīng)商風(fēng)險(xiǎn)管理日常運(yùn)營(yíng)中的角色和責(zé)任。VRM 文檔需要不斷修訂,以跟上新的和更新的法規(guī)要求、安全狀況成熟度以及供應(yīng)商庫(kù)存的變化。
      

      步驟 2. 建立供應(yīng)商選擇標(biāo)準(zhǔn)
      

      當(dāng)您的組織加入新供應(yīng)商時(shí),您可能會(huì)授予他們?cè)L問(wèn)大量敏感數(shù)據(jù)的權(quán)限。雖然您的安全控制可能符合所有內(nèi)部和外部要求,但您的供應(yīng)商不一定如此。供應(yīng)商本身可能在內(nèi)部符合法規(guī)要求,但這并不一定延伸到其客戶。
      

      在建立新的供應(yīng)商關(guān)系并信任他們保護(hù)您的數(shù)據(jù)之前,確保您的安全團(tuán)隊(duì)有一個(gè)有效的流程來(lái)審查第三方是至關(guān)重要的。在征求建議書(shū) (RFP) 和提交審查之后,選擇過(guò)程在很大程度上依賴于執(zhí)行供應(yīng)商盡職調(diào)查。
      

      步驟 3. 執(zhí)行供應(yīng)商盡職調(diào)查
      

      供應(yīng)商盡職調(diào)查是供應(yīng)商選擇過(guò)程的關(guān)鍵要素,涉及在入職前篩選潛在供應(yīng)商。執(zhí)行盡職調(diào)查應(yīng)驗(yàn)證供應(yīng)商就其安全狀況、認(rèn)證和合規(guī)級(jí)別所做的任何聲明。應(yīng)通過(guò)持續(xù)監(jiān)控在供應(yīng)商生命周期的所有階段進(jìn)行充分的盡職調(diào)查,以有效管理第三方合規(guī)性。
      

      供應(yīng)商盡職調(diào)查實(shí)踐通常包括:
      

        

      • 至少每年發(fā)送一次風(fēng)險(xiǎn)評(píng)估問(wèn)卷。
        • 

      • 請(qǐng)求相關(guān)文檔,例如SOC-2 報(bào)告、業(yè)務(wù)連續(xù)性計(jì)劃、事件響應(yīng)計(jì)劃和信息安全策略。
        • 

      • 使用供應(yīng)商分層定期評(píng)估高風(fēng)險(xiǎn)供應(yīng)商。
        • 

      • 通過(guò)安全評(píng)級(jí)和對(duì)攻擊面的持續(xù)監(jiān)控來(lái)評(píng)估安全態(tài)勢(shì)。
        • 

      

      第 4 步:定期審核您的供應(yīng)商
      

      盡職調(diào)查過(guò)程之后的定期審計(jì)使組織能夠識(shí)別合規(guī)性差距和漏洞。審計(jì)應(yīng)包括對(duì)組織的供應(yīng)商關(guān)系的詳細(xì)報(bào)告,包括使用安全問(wèn)卷來(lái)評(píng)估持續(xù)的合規(guī)性。組織可以通過(guò)實(shí)施單一事實(shí)來(lái)源來(lái)記錄重要的供應(yīng)商事件(例如簽署合同協(xié)議、風(fēng)險(xiǎn)識(shí)別和補(bǔ)救請(qǐng)求)來(lái)簡(jiǎn)化其審計(jì)工作流程。
      

      什么是供應(yīng)商風(fēng)險(xiǎn)管理(VRM)?-南華中天
      

      步驟 5. 定義報(bào)告期望
      

      執(zhí)行團(tuán)隊(duì)需要定期報(bào)告以了解供應(yīng)商風(fēng)險(xiǎn)管理在更廣泛的組織環(huán)境中的重要性,并推動(dòng)有效的信息安全決策。報(bào)告應(yīng)為所有利益相關(guān)者所理解,并包含一致的網(wǎng)絡(luò)安全指標(biāo),總結(jié)關(guān)鍵供應(yīng)商風(fēng)險(xiǎn)組合的基本方面。一個(gè)完整的供應(yīng)商風(fēng)險(xiǎn)管理平臺(tái)可以自動(dòng)化整個(gè)風(fēng)險(xiǎn)管理流程。這種整合可以對(duì)重要的供應(yīng)商指標(biāo)進(jìn)行簡(jiǎn)明的執(zhí)行報(bào)告,例如:
      

        

      • 平均供應(yīng)商安全評(píng)級(jí)
        • 

      • 一段時(shí)間內(nèi)受監(jiān)控的供應(yīng)商數(shù)量
        • 

      • 供應(yīng)商評(píng)級(jí)分布
        • 

      • 改進(jìn)最多和最少的供應(yīng)商
        • 

      • 第四方風(fēng)險(xiǎn)
        • 

      • 供應(yīng)商地理位置
        • 

      

      供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃最佳實(shí)踐
      

      以下最佳實(shí)踐可幫助組織優(yōu)化其供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃。
      

      1. 確定您的供應(yīng)鏈攻擊面
      

      一個(gè)有效的 VRM 計(jì)劃應(yīng)該考慮到您的第三方供應(yīng)商和您的第四方供應(yīng)商。Gartner 報(bào)告稱,超過(guò) 60% 的組織擁有1000 多個(gè)第三方,因此獲取和維護(hù)整個(gè)供應(yīng)鏈攻擊面的可見(jiàn)性很快變得復(fù)雜。創(chuàng)建供應(yīng)商清單為您組織的 VRM 計(jì)劃提供了堅(jiān)實(shí)的基礎(chǔ),使您能夠識(shí)別所有攻擊媒介,包括您的第四方。
      

      手動(dòng)創(chuàng)建供應(yīng)商庫(kù)存是一個(gè)耗時(shí)的過(guò)程,需要復(fù)雜的電子表格和不斷的修訂。通過(guò)手動(dòng)方法識(shí)別第四方也很困難,因?yàn)榻M織主要依賴第三方報(bào)告,這些報(bào)告可能不是最新的或不準(zhǔn)確的。自動(dòng)化供應(yīng)商風(fēng)險(xiǎn)管理解決方案提供了一個(gè)用于跟蹤第三方供應(yīng)商的集中平臺(tái),并能夠自動(dòng)發(fā)現(xiàn)第四方供應(yīng)商。組織還可以利用VRM 自動(dòng)化根據(jù)重要因素(例如風(fēng)險(xiǎn)級(jí)別)對(duì)供應(yīng)商進(jìn)行分類。這種分類允許安全團(tuán)隊(duì)在整個(gè)供應(yīng)商生命周期(從采購(gòu)到離職)中優(yōu)先考慮他們的補(bǔ)救工作。
      

      2. 優(yōu)先考慮您的高風(fēng)險(xiǎn)供應(yīng)商
      

      鑒于大多數(shù)組織管理著成百上千的第三方,不可能將相同的注意力分配給每個(gè)供應(yīng)商。每個(gè)供應(yīng)商都給您的組織帶來(lái)獨(dú)特的風(fēng)險(xiǎn),具有不同的重要性和緊迫性。每個(gè)風(fēng)險(xiǎn)層都有一個(gè)獨(dú)特的盡職調(diào)查流程和其他特定于層的要求,這意味著您的信息安全團(tuán)隊(duì)將需要對(duì)每個(gè)供應(yīng)商進(jìn)行單獨(dú)分類。
      

      什么是供應(yīng)商風(fēng)險(xiǎn)管理(VRM)?-南華中天
      

      管理如此大量的供應(yīng)商需要優(yōu)先考慮高風(fēng)險(xiǎn)供應(yīng)商而不是低風(fēng)險(xiǎn)供應(yīng)商。但是,仍然必須根據(jù)相同的標(biāo)準(zhǔn)化檢查定期評(píng)估所有供應(yīng)商,以確保沒(méi)有潛在的網(wǎng)絡(luò)威脅未被發(fā)現(xiàn)。根據(jù)風(fēng)險(xiǎn)級(jí)別創(chuàng)建供應(yīng)商分層系統(tǒng)使安全團(tuán)隊(duì)能夠適當(dāng)?shù)貎?yōu)先考慮他們的供應(yīng)商,并有效地分配和擴(kuò)展他們的 VRM 工作。
      

      3. 評(píng)估第三方監(jiān)管合規(guī)性
      

      具有公認(rèn)框架的法規(guī)遵從性和認(rèn)證為組織正在實(shí)施強(qiáng)大的網(wǎng)絡(luò)安全措施提供了更大的保證。無(wú)論供應(yīng)鏈中的何處發(fā)生數(shù)據(jù)泄露,組織始終對(duì)保護(hù)其敏感數(shù)據(jù)負(fù)有全部責(zé)任。組織必須在整個(gè)供應(yīng)商生命周期內(nèi)維持徹底的 VRM 實(shí)踐,并通過(guò)安全調(diào)查問(wèn)卷定期評(píng)估合規(guī)性。這種做法在金融和醫(yī)療保健等受到嚴(yán)格監(jiān)管的行業(yè)中至關(guān)重要。組織可以通過(guò)將風(fēng)險(xiǎn)評(píng)估問(wèn)卷模板的使用與自動(dòng)化問(wèn)卷工作流程的完整 VRM 解決方案相結(jié)合來(lái)簡(jiǎn)化其風(fēng)險(xiǎn)評(píng)估流程。
      

      4. 練習(xí)持續(xù)監(jiān)控
      

      建立供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃不是“一勞永逸”的努力。入職后,安全團(tuán)隊(duì)必須定期對(duì)供應(yīng)商進(jìn)行評(píng)估并持續(xù)監(jiān)控第三方攻擊面,以確保供應(yīng)商的安全狀況保持健康。隨著每天都出現(xiàn)新的漏洞,安全團(tuán)隊(duì)必須快速識(shí)別任何第三方風(fēng)險(xiǎn)并要求立即修復(fù)。如果沒(méi)有自動(dòng)化的幫助,在不斷增長(zhǎng)的攻擊面中保持對(duì)供應(yīng)商績(jī)效的持續(xù)可見(jiàn)性幾乎是不可能的。完整的攻擊面監(jiān)控工具允許組織通過(guò)實(shí)時(shí)識(shí)別和報(bào)告整個(gè)供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn)來(lái)持續(xù)監(jiān)控和管理第三方和第四方風(fēng)險(xiǎn)。