隨著云存儲、軟件即服務(wù)(SaaS)和人工智能、網(wǎng)絡(luò)安全等外部產(chǎn)品的激增，管理第三方供應(yīng)商的風(fēng)險變得空前緊迫和重要。

2023年RSA會議報告發(fā)現(xiàn)，87%的受訪CISO過去12個月遭受過源自第三方的重大網(wǎng)絡(luò)安全事件的影響。SecurityScorecard 2022年進行的一項研究顯示，98%的組織與至少一個在過去兩年發(fā)生過數(shù)據(jù)泄露的第三方供應(yīng)商有合作關(guān)系。

根據(jù)甫瀚咨詢對全球1000多名企業(yè)高管的風(fēng)險預(yù)測調(diào)查，“第三方風(fēng)險”是2024年全球企業(yè)高管公認(rèn)的第四大風(fēng)險(通脹預(yù)期與經(jīng)濟狀況惡化、吸引并留住頂尖人才和網(wǎng)絡(luò)安全威脅排名前三)。

咨詢公司S-RM網(wǎng)絡(luò)安全實踐副總監(jiān)Matthew Mettenheimer認(rèn)為，管理第三方風(fēng)險的重?fù)?dān)最終會落到CISO和CIO身上，并建議企業(yè)遵循第三方風(fēng)險管理的六大最佳實踐：

一、讓所有高管團隊對第三方風(fēng)險達(dá)成共識

Forrester Research安全和風(fēng)險高級分析師Alla Valente表示，第三方帶來的風(fēng)險不僅包括網(wǎng)絡(luò)安全威脅，還會影響企業(yè)的所有方面，包括其運營能力。

然而，許多企業(yè)(尤其是沒有首席風(fēng)險官的企業(yè))并沒有采取全面方法來管理第三方風(fēng)險。相反，他們采取了是孤立的方法;CISO僅處理與網(wǎng)絡(luò)安全相關(guān)的第三方風(fēng)險，而其他高管則負(fù)責(zé)可能影響其各自職能的風(fēng)險。Valente說：這種方法可能會造成盲點和漏洞，因為當(dāng)今第三方風(fēng)險的主要挑戰(zhàn)是沒有單個團隊能夠解決所有風(fēng)險。

Valente表示，CISO應(yīng)該帶頭教育董事會和高管團隊，了解第三方風(fēng)險對企業(yè)造成的相互關(guān)聯(lián)的影響和損失。

二、制定第三方風(fēng)險管理計劃

成功管理第三方風(fēng)險的另一個關(guān)鍵步驟是建立一種以項目為導(dǎo)向的方法，制定可以重復(fù)應(yīng)用于眾多第三方的流程和標(biāo)準(zhǔn)。每個企業(yè)適用的第三方風(fēng)險管理(TPRM)計劃都是獨一無二的，，以確保其評估第三方風(fēng)險的方式符合該企業(yè)的監(jiān)管要求、數(shù)據(jù)保護要求和風(fēng)險承受能力。

專業(yè)服務(wù)公司BPM的咨詢實踐合作伙伴Fred Rica表示，一種有用的策略是使用評分標(biāo)準(zhǔn)來對第三方風(fēng)險進行分析和分類。例如，根據(jù)評分標(biāo)準(zhǔn)將第三方評級為低、中、高。評分標(biāo)準(zhǔn)還使企業(yè)能夠有效地確定每個第三方所需的評估和緩解控制水平，其中標(biāo)記為高的第三方將受到最嚴(yán)格的審查和最多的緩解措施。

第三方風(fēng)險管理框架和軟件可進一步幫助CISO及其高管同事建立TPRM的程序化方法。然而，該方法雖然很有效，但研究表明許多企業(yè)尚未采取此類措施。例如，第三方安全風(fēng)險管理軟件制造商Panorays發(fā)布的2024年CISO調(diào)查發(fā)現(xiàn)，94%的CISO擔(dān)心第三方網(wǎng)絡(luò)安全威脅，但只有3%在其工作場所實施了第三方網(wǎng)絡(luò)風(fēng)險管理解決方案。

三、建立準(zhǔn)確、全面、不斷更新的第三方清單

如果首CISO無法全面了解企業(yè)的第三方供應(yīng)商，就無法充分管理第三方安全威脅。這也是一項富有挑戰(zhàn)性的任務(wù)，因為現(xiàn)在越來越多的技術(shù)由業(yè)務(wù)部門部署，而不是由集中式IT職能部門負(fù)責(zé)盤點所有技術(shù)資產(chǎn)。因此，CISO需要實施策略來識別和維護準(zhǔn)確、全面和不斷更新的第三方清單，以評估和管理其安全風(fēng)險。

雖然有一些軟件解決方案可以幫助CISO建立和管理第三方清單，但Valente建議CISO采取其他步驟來幫助找出第三方的問題。例如，CISO可以與財務(wù)部門合作審查經(jīng)常性付款(包括公司信用卡上的付款)，以識別在沒有企業(yè)采購部門參與的情況下所購買的軟件和訂閱服務(wù)(未添加到庫存清單中)。

四、創(chuàng)建高效評估流程

識別和清查第三方只是一個開始。CISO還必須了解第三方可能帶來哪些安全威脅，這是一項更加艱巨的任務(wù)?！癈ISO必須進行評估，但這些評估不能太長，以免CISO無法完成，”Valente說。同樣，CISO不能(也不應(yīng)該嘗試)對每個第三方進行最嚴(yán)格的評估;這將是一項西西弗斯式的無休止任務(wù)。相反，她建議CISO制定方法來識別哪些第三方需要更嚴(yán)格的評估。根據(jù)Forrester的研究，不到50%的風(fēng)險決策者評估了所有第三方，10%的受訪者表示只評估那些明確要求評估的第三方。

Valente警告企業(yè)不要將第三方的成本作為評估嚴(yán)格性的標(biāo)準(zhǔn)，因為某些第三方服務(wù)可能成本很高，但安全風(fēng)險較低，反之亦然。評估的嚴(yán)格程度應(yīng)與第三方所處理的數(shù)據(jù)的敏感性、其對運營的關(guān)鍵性以及涉及的技術(shù)集成水平掛鉤。

五、CISO深入?yún)⑴c第三方簽約流程

對第三方(無論是供應(yīng)商、銷售商還是合作伙伴)的安全檢查通常在采購過程中進行，但評估往往發(fā)生在流程的最后階段，此時大部分談判已經(jīng)完成，這導(dǎo)致CISO成了擺設(shè)。

醫(yī)療?？萍脊綧cKesson的風(fēng)險管理副總裁Tim Witos表示，CISO最好盡早參與采購流程，并首先對企業(yè)領(lǐng)導(dǎo)者進行教育，使其了解第三方風(fēng)險包含哪些安全要素。CISO還應(yīng)該盡早與潛在供應(yīng)商和合作伙伴溝通，使其知曉必須具備哪些安全標(biāo)準(zhǔn)才能簽訂合同。

CISO還應(yīng)該索要第三方的網(wǎng)絡(luò)安全負(fù)責(zé)人的姓名和聯(lián)系信息，以便在發(fā)生事件時能夠聯(lián)系到他們(而不是嘗試通過客戶經(jīng)理進行溝通，尤其是在發(fā)生網(wǎng)絡(luò)攻擊時)。

六、將第三方風(fēng)險管理常態(tài)化

合同簽署后，對第三方風(fēng)險的管理并未結(jié)束。最有效、最成熟的TPRM計劃的第三方風(fēng)險管理本質(zhì)上是一項持續(xù)工作，能隨時識別和緩解每個第三方關(guān)系存續(xù)過程中出現(xiàn)的風(fēng)險。

第三方風(fēng)險管理不是一個項目，而是一個流程。許多人對初步評估非常滿意，隨后就將文件束之高閣，無法回看風(fēng)險是否相同、是否發(fā)生了變化，或者是否需要改變控制措施。

專家建議CISO持續(xù)監(jiān)控合同要求的遵守情況，并確定可能需要的調(diào)整和更新，并指出第三方風(fēng)險管理程序軟件和流程自動化可以大大緩解安全團隊執(zhí)行此類任務(wù)的壓力。