第三方风险管理的六个最佳实践

随着云存储、软件即服务（SaaS）和人工智能、网络安全等外部产品的激增，管理第三方供应商的风险变得空前紧迫和重要。

2023年RSA会议报告发现，87%的受访CISO过去12个月遭受过源自第三方的重大网络安全事件的影响。SecurityScorecard 2022年进行的一项研究显示，98%的组织与至少一个在过去两年发生过数据泄露的第三方供应商有合作关系。

根据甫瀚咨询对全球1000多名企业高管的风险预测调查，“第三方风险”是2024年全球企业高管公认的第四大风险（通胀预期与经济状况恶化、吸引并留住顶尖人才和网络安全威胁排名前三）。

咨询公司S-RM网络安全实践副总监Matthew Mettenheimer认为，管理第三方风险的重担最终会落到CISO和CIO身上，并建议企业遵循第三方风险管理的六大最佳实践：

Forrester Research安全和风险高级分析师Alla Valente表示，第三方带来的风险不仅包括网络安全威胁，还会影响企业的所有方面，包括其运营能力。

然而，许多企业（尤其是没有首席风险官的企业）并没有采取全面方法来管理第三方风险。相反，他们采取了是孤立的方法；CISO仅处理与网络安全相关的第三方风险，而其他高管则负责可能影响其各自职能的风险。Valente说：这种方法可能会造成盲点和漏洞，因为当今第三方风险的主要挑战是没有单个团队能够解决所有风险。

Valente表示，CISO应该带头教育董事会和高管团队，了解第三方风险对企业造成的相互关联的影响和损失。

成功管理第三方风险的另一个关键步骤是建立一种以项目为导向的方法，制定可以重复应用于众多第三方的流程和标准。每个企业适用的第三方风险管理(TPRM)计划都是独一无二的，，以确保其评估第三方风险的方式符合该企业的监管要求、数据保护要求和风险承受能力。

专业服务公司BPM的咨询实践合作伙伴Fred Rica表示，一种有用的策略是使用评分标准来对第三方风险进行分析和分类。例如，根据评分标准将第三方评级为低、中、高。评分标准还使企业能够有效地确定每个第三方所需的评估和缓解控制水平，其中标记为高的第三方将受到最严格的审查和最多的缓解措施。

第三方风险管理框架和软件可进一步帮助CISO及其高管同事建立TPRM的程序化方法。然而，该方法虽然很有效，但研究表明许多企业尚未采取此类措施。例如，第三方安全风险管理软件制造商Panorays发布的2024年CISO调查发现，94%的CISO担心第三方网络安全威胁，但只有3%在其工作场所实施了第三方网络风险管理解决方案。

如果首CISO无法全面了解企业的第三方供应商，就无法充分管理第三方安全威胁。这也是一项富有挑战性的任务，因为现在越来越多的技术由业务部门部署，而不是由集中式IT职能部门负责盘点所有技术资产。因此，CISO需要实施策略来识别和维护准确、全面和不断更新的第三方清单，以评估和管理其安全风险。

虽然有一些软件解决方案可以帮助CISO建立和管理第三方清单，但Valente建议CISO采取其他步骤来帮助找出第三方的问题。例如，CISO可以与财务部门合作审查经常性付款（包括公司信用卡上的付款），以识别在没有企业采购部门参与的情况下所购买的软件和订阅服务（未添加到库存清单中）。

识别和清查第三方只是一个开始。CISO还必须了解第三方可能带来哪些安全威胁，这是一项更加艰巨的任务。“CISO必须进行评估，但这些评估不能太长，以免CISO无法完成，”Valente说。同样，CISO不能（也不应该尝试）对每个第三方进行最严格的评估；这将是一项西西弗斯式的无休止任务。相反，她建议CISO制定方法来识别哪些第三方需要更严格的评估。根据Forrester的研究，不到50%的风险决策者评估了所有第三方，10%的受访者表示只评估那些明确要求评估的第三方。

Valente警告企业不要将第三方的成本作为评估严格性的标准，因为某些第三方服务可能成本很高，但安全风险较低，反之亦然。评估的严格程度应与第三方所处理的数据的敏感性、其对运营的关键性以及涉及的技术集成水平挂钩。

对第三方（无论是供应商、销售商还是合作伙伴）的安全检查通常在采购过程中进行，但评估往往发生在流程的最后阶段，此时大部分谈判已经完成，这导致CISO成了摆设。

医疗保科技公司McKesson的风险管理副总裁Tim Witos表示，CISO最好尽早参与采购流程，并首先对企业领导者进行教育，使其了解第三方风险包含哪些安全要素。CISO还应该尽早与潜在供应商和合作伙伴沟通，使其知晓必须具备哪些安全标准才能签订合同。

CISO还应该索要第三方的网络安全负责人的姓名和联系信息，以便在发生事件时能够联系到他们（而不是尝试通过客户经理进行沟通，尤其是在发生网络攻击时）。

合同签署后，对第三方风险的管理并未结束。最有效、最成熟的TPRM计划的第三方风险管理本质上是一项持续工作，能随时识别和缓解每个第三方关系存续过程中出现的风险。

第三方风险管理不是一个项目，而是一个流程。许多人对初步评估非常满意，随后就将文件束之高阁，无法回看风险是否相同、是否发生了变化，或者是否需要改变控制措施。

专家建议CISO持续监控合同要求的遵守情况，并确定可能需要的调整和更新，并指出第三方风险管理程序软件和流程自动化可以大大缓解安全团队执行此类任务的压力。

参考链接：

https://www.csoonline.com/article/1305977/6-best-practices-for-third-party-risk-management.html