第一宗罪:認(rèn)為風(fēng)險(xiǎn)可以被外包
很多企業(yè)認(rèn)為,使用第三方產(chǎn)品或服務(wù)產(chǎn)生的網(wǎng)絡(luò)風(fēng)險(xiǎn),應(yīng)該由供應(yīng)商來進(jìn)行管理及承擔(dān),這是絕對錯誤的。監(jiān)管機(jī)構(gòu)一直明確表示,你可以外包系統(tǒng)和服務(wù),但你不能外包風(fēng)險(xiǎn)。2008年,聯(lián)邦存款保險(xiǎn)公司對供應(yīng)商風(fēng)險(xiǎn)管理做了如下規(guī)定:一個(gè)機(jī)構(gòu)的董事會和高級領(lǐng)導(dǎo)層應(yīng)負(fù)責(zé)管理通過第三方進(jìn)行的活動,并識別和控制由此帶來的風(fēng)險(xiǎn)。美國衛(wèi)生與公眾服務(wù)部、歐盟、美國貨幣監(jiān)理署等監(jiān)管機(jī)構(gòu)也發(fā)布過類似的指南。
即使您與供應(yīng)商的合約中有關(guān)于數(shù)據(jù)違約相關(guān)的條款,或許在安全事件發(fā)生后,可能獲得一定的賠償,但財(cái)務(wù)并不是唯一的風(fēng)險(xiǎn)。監(jiān)管機(jī)構(gòu)的罰款、企業(yè)聲譽(yù)的損失、市值的蒸發(fā),更加可怕。
第二宗罪:與第三方的合約中沒有必要的安全條款
與第三方合約中的信息安全條款,建議至少包括:
1、對第三方進(jìn)行審計(jì)的權(quán)利;
2、數(shù)據(jù)泄露通知;
3、解決已識別漏洞的補(bǔ)救要求。
若是企業(yè)在解決第三方風(fēng)險(xiǎn)問題時(shí)沒有審計(jì)權(quán),即無法有效的實(shí)現(xiàn)風(fēng)險(xiǎn)的評估。如果沒有補(bǔ)救要求,識別出的風(fēng)險(xiǎn)也可能無法得到解決。
在與第三方簽訂的服務(wù)協(xié)議中使用經(jīng)法律批準(zhǔn)的、標(biāo)準(zhǔn)化的信息安全附錄,確保公司對需要采取糾正措施以保護(hù)其客戶、資產(chǎn)和聲譽(yù)具有可見性和追索權(quán)。即使您企業(yè)目前仍沒有積極地管理供應(yīng)商風(fēng)險(xiǎn),也需要將您想要的風(fēng)險(xiǎn)需求放入合同中。這樣做實(shí)際上將使供應(yīng)商承擔(dān)一些最低的安全性需求,并為將來評估他們的安全性提供機(jī)會。
第三宗罪:認(rèn)為第三方風(fēng)險(xiǎn)管理與業(yè)務(wù)無關(guān)
業(yè)務(wù)運(yùn)行在由內(nèi)部人員和第三方管理的復(fù)雜系統(tǒng)之上,對第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理即對業(yè)務(wù)風(fēng)險(xiǎn)的管理,這也是我們的初衷。而在實(shí)現(xiàn)風(fēng)險(xiǎn)管理的過程中,技術(shù)同業(yè)務(wù)的協(xié)作必不可少:
1、根據(jù)企業(yè)的信息安全標(biāo)準(zhǔn)建立供應(yīng)商績效考核;
2、了解每個(gè)供應(yīng)商關(guān)系的業(yè)務(wù)負(fù)責(zé)人;
3、定期向每個(gè)業(yè)務(wù)負(fù)責(zé)人報(bào)告供應(yīng)商的風(fēng)險(xiǎn)表現(xiàn),并要求每個(gè)供應(yīng)商對滿足績效有足夠的響應(yīng)。
實(shí)現(xiàn)良好的第三方風(fēng)險(xiǎn)結(jié)果還需要業(yè)務(wù)支持“升級路徑”,通過該路徑,我們可以清晰的看到哪些供應(yīng)商具備什么樣的問題,在該路徑中,表現(xiàn)不佳的供應(yīng)商被放在“觀察列表”上,若是沒有及時(shí)的解決問題,最終將被放在“禁止”列表上,以激勵供應(yīng)商做好風(fēng)險(xiǎn)管理。
第四宗罪:不知道您的供應(yīng)商是誰
在進(jìn)行供應(yīng)商網(wǎng)絡(luò)風(fēng)險(xiǎn)管理時(shí),您只能管理已知供應(yīng)商的風(fēng)險(xiǎn)。您掌握的供應(yīng)商名單越長,管理覆蓋到的供應(yīng)商就越多,風(fēng)險(xiǎn)也越小。
對于新的供應(yīng)商風(fēng)險(xiǎn)管理項(xiàng)目,建議分階段覆蓋到供應(yīng)商,可以從近期剛開始合作的供應(yīng)商開始,而不是試圖一次納入所有供應(yīng)商,現(xiàn)有供應(yīng)商可以通過合約更新的方式逐步覆蓋。這樣更利于風(fēng)險(xiǎn)管理項(xiàng)目的展開,新供應(yīng)商最有動力遵從您的風(fēng)險(xiǎn)管理流程,因?yàn)樗麄兿MA得您的業(yè)務(wù)。
可能需要幾年的時(shí)間,通過管理新供應(yīng)商和現(xiàn)有供應(yīng)商的合同更新,您將覆蓋絕大多數(shù)供應(yīng)商。接下來的挑戰(zhàn)是找出那些“藏匿”起來的供應(yīng)商。您可以通過企業(yè)內(nèi)的配合搜尋供應(yīng)商:比如每月對應(yīng)付賬款數(shù)據(jù)與供應(yīng)商風(fēng)險(xiǎn)管理數(shù)據(jù)進(jìn)行核對,任何未在風(fēng)險(xiǎn)管理數(shù)據(jù)庫中出現(xiàn)的供應(yīng)商都會被識別。
第五宗罪:信任,不去驗(yàn)證
“信任,但要驗(yàn)證”的原則在管理第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)非常的適用。
在過去,供應(yīng)商通常以高分通過基于問卷的評估。您可以去查看現(xiàn)有的供應(yīng)商調(diào)查問卷,似乎所有的正面問題都會被肯定、似乎所有安全控制都正確的執(zhí)行。我們能否通過這些積極的證明得出目前風(fēng)險(xiǎn)很小、可控的結(jié)論?
良好的風(fēng)險(xiǎn)管理需要準(zhǔn)確、全面地識別風(fēng)險(xiǎn)。供應(yīng)商的安全性認(rèn)證可以幫助您了解他們?yōu)閷?shí)現(xiàn)良好的風(fēng)險(xiǎn)結(jié)果所做的投資,但這只是所需信息的一半。
第六宗罪:不評估第三方風(fēng)險(xiǎn)管理項(xiàng)目進(jìn)行后的效果
根據(jù)2017年對企業(yè)第三方風(fēng)險(xiǎn)管理實(shí)踐的研究,僅有37%的企業(yè)會在執(zhí)行第三方風(fēng)險(xiǎn)管理的某些措施后,會進(jìn)行效果評估。這一點(diǎn)很讓人驚訝,這就像一個(gè)盈利企業(yè)不向投資者報(bào)告其財(cái)務(wù)業(yè)績。長此以往,第三方風(fēng)險(xiǎn)管理的價(jià)值無法顯現(xiàn),第三方風(fēng)險(xiǎn)管理就會變成監(jiān)管機(jī)構(gòu)需要的一個(gè)復(fù)選框,僅是在做表面文章。
目前企業(yè)的第三方風(fēng)險(xiǎn)管理報(bào)告中,通常包括:
某供應(yīng)商評估固有風(fēng)險(xiǎn)的評分
供應(yīng)商的分類評級(基于固有風(fēng)險(xiǎn),類似“滿意”、“有待提高”、“無法接受”)
敏感數(shù)據(jù)風(fēng)險(xiǎn)、交易風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、經(jīng)營風(fēng)險(xiǎn)等維度固有風(fēng)險(xiǎn)的種類和評分
按程序規(guī)范進(jìn)行過評審的供應(yīng)商百分比
供應(yīng)商對風(fēng)險(xiǎn)評估的響應(yīng)時(shí)間
供應(yīng)商剩余風(fēng)險(xiǎn)的分布
對于無法承受其風(fēng)險(xiǎn)的供應(yīng)商名單
但缺少了最重要的管理效果評估,適當(dāng)?shù)亩攘繕?biāo)準(zhǔn)可以加強(qiáng)企業(yè)管理第三方風(fēng)險(xiǎn)的文化,這種文化對第三方的影響能給業(yè)務(wù)更好的支持,同時(shí)它們還能夠提升供應(yīng)商響應(yīng)的積極性、提升風(fēng)險(xiǎn)管理效果,在某些情況下為企業(yè)接受某些風(fēng)險(xiǎn)做了充足的準(zhǔn)備。
第七宗罪:將供應(yīng)商風(fēng)險(xiǎn)管理限制為定期評估
通過定期評估管理供應(yīng)商網(wǎng)絡(luò)風(fēng)險(xiǎn)是不夠的。即使每年進(jìn)行一到兩次評估,評估之間也會發(fā)生很多事情。例如供應(yīng)商數(shù)據(jù)泄露可能會在不知情的情況下危及您的數(shù)據(jù),可能會因?yàn)檠舆t數(shù)據(jù)外泄通知而招致監(jiān)管機(jī)構(gòu)的處罰(GDPR關(guān)于數(shù)據(jù)外泄通告的要求:組織在發(fā)生數(shù)據(jù)外泄時(shí)必須在72小時(shí)內(nèi),即刻通報(bào)給監(jiān)管機(jī)構(gòu)。并且,若外泄會給個(gè)人帶來風(fēng)險(xiǎn),也應(yīng)該及時(shí)通知當(dāng)事人)。
隨著安全評級服務(wù)的盛興,越來越多的企業(yè)采用這一服務(wù)以掌握供應(yīng)商的網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況及變化。這一服務(wù)使持續(xù)的安全評估愿望得以實(shí)現(xiàn)。國外主要的提供商有BitSight、FICO、SecurityScorecard等,國內(nèi)目前僅有一家正式推出并已擁有多個(gè)成功案例的SRS服務(wù):安全值。除了安全評級服務(wù),安全值還具備對第三方風(fēng)險(xiǎn)管理的解決方案
