尽管独立研究一再表明,大约五分之三的数据泄露事件源于第三方关系, 一个简单的事实是,许多组织仍然不能有效地量化他们归因于第三方的网络风险.
当最好的 第三方风险管理 (TPRM)计划协调来自整个业务的涉众的努力, 有一些具体的考虑因素会影响网络安全,应该成为任何计划的一部分, 无论是包揽全局还是只关注IT供应商.
由于其整体的复杂性,TPRM是一头必须一口一口吃掉的大象. 特定于供应商的知识通常是分散的,第三方可能不愿分享他们实施的内部保护措施的细节. 出于这些原因, 安全专业人员将从与每个关系的主要业务所有者的合作中受益匪浅. 我们已经概述了以下高级步骤,任何成熟度级别的计划都可以包括在它们的TPRM计划中.
1. 了解你的第三方
这通常不像听起来那么简单. 大多数组织没有单一的供应商存储库, 可能会有第三方不符合传统的“供应商”定义。. TPRM的重要第一步不仅是建立一个完整的第三方清单, 还要了解每个第三方如何与组织数据交互或支持关键业务功能. 施耐德唐斯推荐了确定新供应商的流程, 终止已终止的第三方关系, 以及对现有供应商名单的核对.
2. 利用帕累托原则
80/20法则并不是绝对的, 大多数组织会发现,一小部分第三方会使企业面临最大的风险. 例如, 影响云提供商的安全事件, 互联网bet9平台游戏提供商, 与办公用品或家具供应商的妥协相比,公用事业公司的妥协显然会造成更大的下游影响.
使用CIA保密三合一评估每个供应商的重要性, 完整性, 可用性是对第三方关系的内在风险进行排名的直接方法. 一旦所有供应商都被识别出来,并根据对组织战略目标的重要性进行排名, 我们建议选择风险最高的合作伙伴的一个子集(前20%), top 10, etc.),在以下步骤中进行详细的风险处理.
3. 制定基本规则
在制定第三方网络安全标准时,很容易向全世界提出要求, 但是大多数安全专业人员应该明白,业务目标通常优先于风险. 冗长的调查问卷和复杂的安全性需求使供应商选择过程复杂化, 导致内部利益相关者的沮丧和对低风险供应商的错误关注. 第三方要求应与常见的网络安全风险联系起来,并定期重新审视,以应对新出现的威胁. 一些基本的例子包括:
- 要求所有第三方在经历数据泄露时同意一个标准的通知流程
- 指定存储或处理组织数据的任何第三方必须实现的加密基线级别
- 规范上网、BYOD等策略. 供应商及承办商
- 根据供应商之间的关系,要求并审查适当的SOC报告
- 在关系终止时,记录组织数据处理的要求
4. 冲洗并重复
一旦围绕一组给定第三方的网络风险被认为是“可控的”(例如.e., 固有的风险被记录下来,剩余的风险已经通过供应商的请求或内部异常过程得到处理), 对于低风险的关系,整个过程可以重复. 施耐德唐斯建议对风险最高的供应商进行年度评估,以确定是否有重大变化, 但是已知的安全事件应该立即触发对处于任何风险级别的供应商的审查.
相关文章
本文是探讨第三方风险管理程序重要性的系列文章的一部分, 您可以在下面查看其他文章.
- 2020年的第三方风险管理:我们所看到的
- COVID-19期间第三方风险管理规划
- 合规性和第三方风险管理:持续成功的功能
- 第三方风险管理的5w和H
- 第三方风险管理如何迎合您的组织
- 揭秘:你的第三方审计人员不想让你知道的事情
- 大流行迫使第三方风险管理虚拟评估
- 注意你的T和C
查看我们的整个第三方风险管理文章库 here.
关于施耐德唐斯第三方风险管理
施耐德唐斯是共享评估集团的注册评估公司, 明确领导者对第三方风险管理的指导. 我们的员工在供应商风险管理的各个方面都经验丰富, 并拥有必要的证书(CTPRP), CISA, CISSP, etc.)达到有意义的结果,以帮助贵组织有效地达到新的供应商风险管理高度.
欲知详情,请浏览 9yir.bjqzgy.com/tprm or bet9平台游戏 了解更多信息.