全球互聯(lián)的世界中，知識(shí)經(jīng)濟(jì)正在塑造我們的未來(lái)，供應(yīng)商關(guān)系是成功的關(guān)鍵。

全球企業(yè)越來(lái)越依賴于成百上千的第三方供應(yīng)商、承包商，以及支持業(yè)務(wù)運(yùn)營(yíng)和達(dá)成戰(zhàn)略目標(biāo)的那些系統(tǒng)。金融服務(wù)公司外包支持與處理。制造企業(yè)與全球供應(yīng)商、分銷商、貨運(yùn)代理和經(jīng)銷商合作。醫(yī)療保健提供商依賴數(shù)據(jù)采集者、程序員、數(shù)據(jù)傳送者、文檔銷毀者和POS供應(yīng)商。

道德與合規(guī)情報(bào)專業(yè)公司 NAVEX Global 在其2016年的《道德&合規(guī) 第三方風(fēng)險(xiǎn)管理基準(zhǔn)報(bào)告》中提到：400位受訪者中有60%都會(huì)加大對(duì)第三方關(guān)系的依賴。外包運(yùn)營(yíng)、建立新合作伙伴關(guān)系、轉(zhuǎn)移業(yè)務(wù)到海外、實(shí)現(xiàn)云計(jì)算服務(wù)，都是達(dá)成業(yè)務(wù)目標(biāo)的一部分。不過(guò)，這些舉動(dòng)也會(huì)引入網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，降低公司對(duì)自身業(yè)務(wù)的控制力。

NAVEX Global 發(fā)現(xiàn)，67%的金融服務(wù)公司和50%的醫(yī)療健康受訪者，都將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)列為了頭等大事——高于欺詐、賄賂和腐敗，以及利益沖突。從威瑞森2017年的《數(shù)據(jù)泄露調(diào)查報(bào)告》來(lái)看，有鑒于這兩個(gè)行業(yè)都是數(shù)據(jù)泄露最常見(jiàn)的受害者，他們這么做無(wú)可厚非。但網(wǎng)絡(luò)罪犯不搞歧視，所有行業(yè)各種規(guī)模的公司企業(yè)都是他們的目標(biāo)。每家企業(yè)都必須主動(dòng)參與到發(fā)現(xiàn)、管理和限制因第三方不足或沒(méi)有效力的安全實(shí)踐而可能引入的麻煩。

隨著安全越來(lái)越復(fù)雜，網(wǎng)絡(luò)越來(lái)越糾纏，第三方風(fēng)險(xiǎn)管理已成為公司戰(zhàn)略的一個(gè)重要部分?，F(xiàn)在的董事會(huì)討論議程中都包含了第三方風(fēng)險(xiǎn)，尤其是在高度監(jiān)管的行業(yè)中。很多企業(yè)依靠注入SOC2和 ISO 27001 這樣的第三方認(rèn)證來(lái)緩解風(fēng)險(xiǎn)。

然而，許多重大風(fēng)險(xiǎn)不是按計(jì)劃來(lái)的，它們非常具體。比如公司和第三方間的連接和合作如何開展，基礎(chǔ)設(shè)施和軟件架構(gòu)，防護(hù)糟糕的輔助系統(tǒng)，以及大多數(shù)審計(jì)都未包含的其他方面。

有效第三方風(fēng)險(xiǎn)管理項(xiàng)目是必要的，但該如何開展呢?對(duì)大多數(shù)公司而言，預(yù)算壓力很大，人手也常常疲于應(yīng)付。更具挑戰(zhàn)性的是，你的團(tuán)隊(duì)還需要將安全、風(fēng)險(xiǎn)管理、項(xiàng)目管理和廠商關(guān)系等技能進(jìn)行有機(jī)的整合，才可以開發(fā)和運(yùn)營(yíng)該項(xiàng)目。而且，與所有安全事務(wù)一樣，這不是設(shè)置一次過(guò)后就能拋諸腦后的情況。跟上不斷發(fā)展變化的風(fēng)險(xiǎn)環(huán)境與威脅進(jìn)化腳步，同樣是第三方風(fēng)險(xiǎn)管理項(xiàng)目保持有效的必要條件。

第三方風(fēng)險(xiǎn)包括各種各樣的問(wèn)題，從從合同到供應(yīng)鏈到數(shù)據(jù)保護(hù)。NAVEX調(diào)查揭示，對(duì)外包第三方盡職調(diào)查的企業(yè)，比不做調(diào)查的公司，更容易發(fā)現(xiàn)更多的“警報(bào)”或有關(guān)第三方的其他潛在負(fù)面信息。無(wú)論你是創(chuàng)建自己的項(xiàng)目，還是尋找提供商負(fù)責(zé)項(xiàng)目的一部分或全部工作，以下5個(gè)方面都是需要重點(diǎn)考慮的。

1. 定義供應(yīng)商風(fēng)險(xiǎn)層級(jí)

不是所有的供應(yīng)商都是平等的?；趯?duì)自身運(yùn)營(yíng)的關(guān)鍵性和風(fēng)險(xiǎn)度，供應(yīng)商的風(fēng)險(xiǎn)層級(jí)也各異。確?？紤]到供應(yīng)商能訪問(wèn)的數(shù)據(jù)和系統(tǒng)類型，自身運(yùn)營(yíng)對(duì)供應(yīng)商所提供服務(wù)的依賴程度，以及合規(guī)風(fēng)險(xiǎn)。要深刻理解風(fēng)險(xiǎn)態(tài)勢(shì)，清楚知道你所渴求的益處，無(wú)論是敏捷度改善、性能提升還是成本節(jié)約，都有可能被不可預(yù)見(jiàn)的漏洞所抵消掉。

2. 評(píng)估供應(yīng)商安全控制有效性

每家供應(yīng)商遭到各種威脅負(fù)面影響的可能性有多大?你得了解他們是否具備有效控制措施防護(hù)各類威脅，比如內(nèi)部人數(shù)據(jù)訪問(wèn)和滲漏、Web應(yīng)用攻擊、基于網(wǎng)絡(luò)的攻擊、社會(huì)工程、處理不當(dāng)或意外暴露，以及操作中斷或數(shù)據(jù)損壞。評(píng)估合作伙伴，尤其是那些處于最高層級(jí)的供應(yīng)商是否已經(jīng)達(dá)到企業(yè)自身對(duì)安全和風(fēng)險(xiǎn)管理的要求是必須的。

3. 處理風(fēng)險(xiǎn)問(wèn)題

當(dāng)安全、操作彈性或合規(guī)空白被發(fā)現(xiàn)，你需要有預(yù)設(shè)的處理過(guò)程來(lái)主動(dòng)處理問(wèn)題，并確保矯正或替換掉不達(dá)標(biāo)的供應(yīng)商。你有恰當(dāng)?shù)暮贤髥?是怎么監(jiān)管實(shí)施的?需要修訂嗎?

4. 理解并解決新興威脅

地緣政治不穩(wěn)定性;新攻擊方法;不斷發(fā)展的工具、技術(shù)和規(guī)程(TTP);針對(duì)特定行業(yè)的攻擊;針對(duì)特定合作伙伴公司的攻擊等等，都會(huì)給自家公司帶來(lái)風(fēng)險(xiǎn)。持續(xù)監(jiān)視和訪問(wèn)全球威脅情報(bào)的能力，可以讓公司在與不斷變化威脅態(tài)勢(shì)的對(duì)抗中始終保持領(lǐng)先。

5. 向管理層報(bào)告

第三方風(fēng)險(xiǎn)管理是個(gè)董事會(huì)議題。你需要一個(gè)能提供供應(yīng)商風(fēng)險(xiǎn)管理透明性的報(bào)告機(jī)制，其中包括從運(yùn)營(yíng)和技術(shù)角度出發(fā)的執(zhí)行標(biāo)準(zhǔn)和主動(dòng)安全指南。風(fēng)險(xiǎn)透明性對(duì)維持供應(yīng)商關(guān)系的業(yè)務(wù)線也很重要。持續(xù)保持風(fēng)險(xiǎn)和機(jī)會(huì)的平衡，可使公司領(lǐng)導(dǎo)層確保自己緊密參與到最恰當(dāng)?shù)娘L(fēng)險(xiǎn)部門中。

在評(píng)估、實(shí)現(xiàn)或擴(kuò)展第三方關(guān)系的時(shí)候，你得全面理解自己在整個(gè)關(guān)系生命周期中的風(fēng)險(xiǎn)態(tài)勢(shì)。只要做好這5個(gè)關(guān)鍵方面，你就能更好地與第三方連接、通信和合作，確保風(fēng)險(xiǎn)不會(huì)超出收益。