什么是供应商风险管理(VRM)?

在组织将重要业务流程外包给第三方供应商的威胁环境中,供应商风险管理变得越来越重要。毕马威 2022 年的一项研究发现,73% 的受访者在过去三年中至少经历过一次由第三方造成的重大破坏。现有的供应商风险管理计划为您的组织提供了一个可访问、一致且可扩展的框架,用于监控和管理供应商风险敞口。它还允许组织主动识别和补救潜在风险,并确保在发生网络攻击时业务连续性。本文详细介绍了如何使用风险管理最佳实践来实施有效的供应商风险管理计划。

什么是供应商风险管理(VRM)?-南华中天

什么是供应商风险管理 (VRM)?

供应商风险管理 (VRM)管理和监控来自第三方供应商和服务提供商的风险。VRM 是您组织的信息风险管理和更广泛的风险管理流程的关键要素,因为它是处理第三方风险的整体方式。

供应商给组织带来的主要风险包括:

  • 网络安全风险
  • 操作风险
  • 法律、监管和合规风险
  • 声誉风险
  • 财务风险

什么是供应商风险管理计划?

供应商风险管理计划是使组织能够实施有效的第三方风险管理和缓解政策的正式流程和程序。有效的第三方风险管理计划应涵盖供应商生命周期的所有阶段,包括供应商风险评估、供应商入职和供应商离职,并概述事件响应计划。VRM 计划还应包括确保供应商满足内部和法规遵从性要求的框架。

为什么供应商风险管理计划很重要?

VRM 计划很重要,因为它们使组织能够识别、管理和减轻整个供应商生态系统中的网络安全风险,包括第三方和第四方风险。PCI DSS、HIPAA、NIST SP 800-171和ISO 27001等许多法规将其合规性要求扩展到组织的第三方供应商。不合规的供应商可能会对组织造成直接的法律、财务和声誉损害——即使是遵守最严格监管合规标准的组织。同样,即使网络安全事件发生在供应商手中,组织也要对泄露敏感信息负责。

什么是供应商风险管理(VRM)?-南华中天

如何创建有效的供应商风险管理计划

组织可以按照以下步骤建立强大的供应商风险管理计划。

步骤 1. 编写供应商风险管理文档

组织必须制定适当的供应商风险管理文档,以包含在信息安全策略中。如果没有可使用的现有 VRM 文档,合规团队可以从一个大致的大纲开始,作为一个脚手架策略。一旦更好地定义了流程和程序,团队就可以添加更多细节。

在信息安全和整个组织的背景下,最终确定的文件应明确利益相关者在供应商风险管理日常运营中的角色和责任。VRM 文档需要不断修订,以跟上新的和更新的法规要求、安全状况成熟度以及供应商库存的变化。

步骤 2. 建立供应商选择标准

当您的组织加入新供应商时,您可能会授予他们访问大量敏感数据的权限。虽然您的安全控制可能符合所有内部和外部要求,但您的供应商不一定如此。供应商本身可能在内部符合法规要求,但这并不一定延伸到其客户。

在建立新的供应商关系并信任他们保护您的数据之前,确保您的安全团队有一个有效的流程来审查第三方是至关重要的。在征求建议书 (RFP) 和提交审查之后,选择过程在很大程度上依赖于执行供应商尽职调查。

步骤 3. 执行供应商尽职调查

供应商尽职调查是供应商选择过程的关键要素,涉及在入职前筛选潜在供应商。执行尽职调查应验证供应商就其安全状况、认证和合规级别所做的任何声明。应通过持续监控在供应商生命周期的所有阶段进行充分的尽职调查,以有效管理第三方合规性。

供应商尽职调查实践通常包括:

  • 至少每年发送一次风险评估问卷。
  • 请求相关文档,例如SOC-2 报告、业务连续性计划、事件响应计划和信息安全策略。
  • 使用供应商分层定期评估高风险供应商。
  • 通过安全评级和对攻击面的持续监控来评估安全态势。

第 4 步:定期审核您的供应商

尽职调查过程之后的定期审计使组织能够识别合规性差距和漏洞。审计应包括对组织的供应商关系的详细报告,包括使用安全问卷来评估持续的合规性。组织可以通过实施单一事实来源来记录重要的供应商事件(例如签署合同协议、风险识别和补救请求)来简化其审计工作流程。

什么是供应商风险管理(VRM)?-南华中天

步骤 5. 定义报告期望

执行团队需要定期报告以了解供应商风险管理在更广泛的组织环境中的重要性,并推动有效的信息安全决策。报告应为所有利益相关者所理解,并包含一致的网络安全指标,总结关键供应商风险组合的基本方面。一个完整的供应商风险管理平台可以自动化整个风险管理流程。这种整合可以对重要的供应商指标进行简明的执行报告,例如:

  • 平均供应商安全评级
  • 一段时间内受监控的供应商数量
  • 供应商评级分布
  • 改进最多和最少的供应商
  • 第四方风险
  • 供应商地理位置

供应商风险管理计划最佳实践

以下最佳实践可帮助组织优化其供应商风险管理计划。

1. 确定您的供应链攻击面

一个有效的 VRM 计划应该考虑到您的第三方供应商和您的第四方供应商。Gartner 报告称,超过 60% 的组织拥有1000 多个第三方,因此获取和维护整个供应链攻击面的可见性很快变得复杂。创建供应商清单为您组织的 VRM 计划提供了坚实的基础,使您能够识别所有攻击媒介,包括您的第四方。

手动创建供应商库存是一个耗时的过程,需要复杂的电子表格和不断的修订。通过手动方法识别第四方也很困难,因为组织主要依赖第三方报告,这些报告可能不是最新的或不准确的。自动化供应商风险管理解决方案提供了一个用于跟踪第三方供应商的集中平台,并能够自动发现第四方供应商。组织还可以利用VRM 自动化根据重要因素(例如风险级别)对供应商进行分类。这种分类允许安全团队在整个供应商生命周期(从采购到离职)中优先考虑他们的补救工作。

2. 优先考虑您的高风险供应商

鉴于大多数组织管理着成百上千的第三方,不可能将相同的注意力分配给每个供应商。每个供应商都给您的组织带来独特的风险,具有不同的重要性和紧迫性。每个风险层都有一个独特的尽职调查流程和其他特定于层的要求,这意味着您的信息安全团队将需要对每个供应商进行单独分类。

什么是供应商风险管理(VRM)?-南华中天

管理如此大量的供应商需要优先考虑高风险供应商而不是低风险供应商。但是,仍然必须根据相同的标准化检查定期评估所有供应商,以确保没有潜在的网络威胁未被发现。根据风险级别创建供应商分层系统使安全团队能够适当地优先考虑他们的供应商,并有效地分配和扩展他们的 VRM 工作。

3. 评估第三方监管合规性

具有公认框架的法规遵从性和认证为组织正在实施强大的网络安全措施提供了更大的保证。无论供应链中的何处发生数据泄露,组织始终对保护其敏感数据负有全部责任。组织必须在整个供应商生命周期内维持彻底的 VRM 实践,并通过安全调查问卷定期评估合规性。这种做法在金融和医疗保健等受到严格监管的行业中至关重要。组织可以通过将风险评估问卷模板的使用与自动化问卷工作流程的完整 VRM 解决方案相结合来简化其风险评估流程。

4. 练习持续监控

建立供应商风险管理计划不是“一劳永逸”的努力。入职后,安全团队必须定期对供应商进行评估并持续监控第三方攻击面,以确保供应商的安全状况保持健康。随着每天都出现新的漏洞,安全团队必须快速识别任何第三方风险并要求立即修复。如果没有自动化的帮助,在不断增长的攻击面中保持对供应商绩效的持续可见性几乎是不可能的。完整的攻击面监控工具允许组织通过实时识别和报告整个供应链的网络风险来持续监控和管理第三方和第四方风险。