當(dāng)敏感數(shù)據(jù)從第三方供應(yīng)商處被盜，或者當(dāng)他們的系統(tǒng)被用來訪問和竊取存儲(chǔ)在您系統(tǒng)中的敏感信息時(shí)，就會(huì)發(fā)生第三方違規(guī)。在當(dāng)今的數(shù)字環(huán)境中，將業(yè)務(wù)流程外包給專門從事每個(gè)特定功能的供應(yīng)商已成為標(biāo)準(zhǔn)做法，無論是通過 SaaS 供應(yīng)商、第三方服務(wù)提供商還是承包商。

這些第三方通常不在您的組織的控制之下，并且它們不太可能提供完全透明的信息安全控制。一些供應(yīng)商可以擁有強(qiáng)大的安全標(biāo)準(zhǔn)和良好的風(fēng)險(xiǎn)管理實(shí)踐，而其他供應(yīng)商則可能沒有。

2019 年eSentire 的一項(xiàng) 調(diào)查 發(fā)現(xiàn)，在所有接受調(diào)查的公司中，有 44% 的公司經(jīng)歷過由第三方供應(yīng)商造成的重大數(shù)據(jù)泄露。IBM 的數(shù)據(jù)泄露成本報(bào)告發(fā)現(xiàn)，第三方參與是五個(gè)最大的成本放大器之一，使平均成本增加超過 370,000 美元，達(dá)到 429 萬美元。這就是為什么 第三方風(fēng)險(xiǎn)管理和供應(yīng)商風(fēng)險(xiǎn)管理構(gòu)成任何組織的企業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略的重要組成部分。

1. 入職前評(píng)估您的供應(yīng)商

在不衡量他們引入的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的情況下，讓可以訪問您的網(wǎng)絡(luò)和敏感數(shù)據(jù)的第三方供應(yīng)商入職是有風(fēng)險(xiǎn)的。然而，太多的組織未能在供應(yīng)商選擇過程中進(jìn)行充分的盡職調(diào)查。

在不給供應(yīng)商管理團(tuán)隊(duì)帶來運(yùn)營(yíng)開銷的情況下評(píng)估潛在供應(yīng)商的一種簡(jiǎn)單方法是使用 安全評(píng)級(jí)。安全評(píng)級(jí)已被廣泛采用，因?yàn)樗鼈冄a(bǔ)充并有時(shí)可以替代耗時(shí)的供應(yīng)商風(fēng)險(xiǎn)評(píng)估技術(shù)，如問卷調(diào)查、現(xiàn)場(chǎng)訪問和 滲透測(cè)試。

安全評(píng)級(jí)讓您立即了解 潛在供應(yīng)商的 外部安全狀況以及 他們可能容易受到哪些網(wǎng)絡(luò)威脅。這大大減輕了TPRM團(tuán)隊(duì)在供應(yīng)商選擇、盡職調(diào)查、入職和監(jiān)控期間的運(yùn)營(yíng)負(fù)擔(dān) 。此外，報(bào)告可以與供應(yīng)商共享并用于補(bǔ)救問題。結(jié)果是更準(zhǔn)確、實(shí)時(shí)地了解供應(yīng)商將給您的供應(yīng)鏈帶來的風(fēng)險(xiǎn)，而無需花費(fèi)時(shí)間完成代價(jià)高昂的風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試或 漏洞 掃描。

2. 將風(fēng)險(xiǎn)管理納入您的合同

將網(wǎng)絡(luò)風(fēng)險(xiǎn)納入您的 供應(yīng)商風(fēng)險(xiǎn)管理 計(jì)劃和供應(yīng)商合同中。雖然這不會(huì)阻止第三方數(shù)據(jù)泄露，但這意味著如果他們的安全狀況減弱，您的供應(yīng)商將被追究責(zé)任。

我們的許多客戶將安全評(píng)級(jí)納入他們的合同。例如，有些規(guī)定處理個(gè)人信息或信用卡的供應(yīng)商必須保持 900 以上的安全等級(jí)，否則有終止合同的風(fēng)險(xiǎn)。

我們還建議將 SLA 納入您的合同，以便您可以引導(dǎo) 供應(yīng)商的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理行為并降低您的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?？紤]添加要求您的供應(yīng)商在特定時(shí)間范圍內(nèi)溝通甚至修復(fù)任何安全問題的語言，例如高風(fēng)險(xiǎn)問題需要 72 小時(shí)。此外，考慮增加每季度一次要求完成安全調(diào)查問卷的權(quán)利，因?yàn)樗鼈兛梢酝怀鲲@示外部安全掃描遺漏的問題。

3.保留您在用供應(yīng)商的庫存

在您能夠充分確定您的第三方供應(yīng)商帶來的風(fēng)險(xiǎn)之前，您需要了解您所有的第三方都是誰，以及與他們每個(gè)人分擔(dān)了多少。如果沒有你的第三方關(guān)系清單，就不可能衡量供應(yīng)商引入的風(fēng)險(xiǎn)水平。盡管如此， 只有 46% 的組織 對(duì)處理 敏感數(shù)據(jù)的供應(yīng)商 進(jìn)行 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。聽起來很簡(jiǎn)單，但了解您的組織使用的所有供應(yīng)商并不總是那么容易。特別是如果您在大型組織工作。

4.持續(xù)監(jiān)控供應(yīng)商的安全風(fēng)險(xiǎn)

供應(yīng)商的安全狀況可以而且將會(huì)在您的合同過程中發(fā)生變化。這就是為什么 隨著時(shí)間的推移持續(xù)監(jiān)控他們的安全控制對(duì)您來說至關(guān)重要的原因。問題是，大多數(shù)組織不會(huì)持續(xù)監(jiān)控他們的供應(yīng)商。相反，他們依賴于時(shí)間點(diǎn)評(píng)估，例如審計(jì)或安全問卷，這些通常只是組織安全狀況的快照。

5.與您的供應(yīng)商合作

雖然您永遠(yuǎn)無法完全防止第三方未經(jīng)授權(quán)的訪問、 網(wǎng)絡(luò)攻擊和安全漏洞，但重要的是與供應(yīng)商合作而不是好斗，以降低風(fēng)險(xiǎn)并快速修復(fù)安全問題。

例如，您可以使用我們的 投資組合風(fēng)險(xiǎn)概況 來確定供應(yīng)商生態(tài)系統(tǒng)中最關(guān)鍵風(fēng)險(xiǎn)的優(yōu)先級(jí)，并通過我們的平臺(tái)請(qǐng)求補(bǔ)救措施，以確?？焖俳鉀Q風(fēng)險(xiǎn)并進(jìn)行審計(jì)跟蹤。這有助于外展，并讓您和您的供應(yīng)商了解需要修復(fù)的內(nèi)容以及為什么它會(huì)對(duì)最終用戶和個(gè)人數(shù)據(jù)構(gòu)成風(fēng)險(xiǎn)。

6. 談?wù)劦谌斤L(fēng)險(xiǎn)

表現(xiàn)最好的組織（那些在去年能夠避免違規(guī)的組織和那些擁有成熟的風(fēng)險(xiǎn)管理計(jì)劃的組織）都參與了領(lǐng)導(dǎo)。根據(jù) Ponemon Insitute 的 第三方生態(tài)系統(tǒng)數(shù)據(jù)風(fēng)險(xiǎn) 報(bào)告，53% 的高績(jī)效組織中的受訪者表示他們有董事會(huì)和高管級(jí)別的參與，而在經(jīng)歷過第三方的組織中只有 25% 的受訪者表示數(shù)據(jù)泄露。

這種參與意味著最高績(jī)效者的領(lǐng)導(dǎo)層意識(shí)到保護(hù)機(jī)密信息的重要性，以及在全球范圍內(nèi)引入通用數(shù)據(jù)保護(hù)法規(guī)（例如GDPR、 LGPD、 CCPA、 FIPA、 PIPEDA和 SHIELD 法案。通常，他們也會(huì)了解運(yùn)營(yíng)安全性差和社交媒體上過度分享的風(fēng)險(xiǎn)，網(wǎng)絡(luò)犯罪分子經(jīng)常利用這些風(fēng)險(xiǎn)進(jìn)行 魚叉式網(wǎng)絡(luò)釣魚 和 捕鯨攻擊。

7. 與不良供應(yīng)商斷絕關(guān)系

如果小型企業(yè)或第三方供應(yīng)商無法滿足您的標(biāo)準(zhǔn)，或者如果他們?cè)馐?勒索軟件攻擊 或 數(shù)據(jù)泄露，您是否愿意切斷聯(lián)系？如果您愿意，您是否有適當(dāng)?shù)牧鞒虂沓晒γ撾x供應(yīng)商而不會(huì)導(dǎo)致業(yè)務(wù)連續(xù)性問題？很多公司擅長(zhǎng)招募供應(yīng)商，但很難正確地讓他們離開。最安全的組織關(guān)心細(xì)節(jié)，并了解適當(dāng)?shù)南戮€是 第三方風(fēng)險(xiǎn)管理的重要組成部分。

8.衡量第四方風(fēng)險(xiǎn)

了解您的第三方風(fēng)險(xiǎn)很重要 ，了解您的第三方依賴誰也很重要。這些組織被稱為您的第四方供應(yīng)商，他們引入了第四方風(fēng)險(xiǎn)。正如組織正在迅速采用多因素身份驗(yàn)證一樣，我們看到我們最好的客戶通過合同要求供應(yīng)商在與第四方或第五方共享數(shù)據(jù)時(shí)通知他們。這使他們能夠跟蹤敏感信息共享并更好地了解誰有權(quán)訪問。

9.遵循最小特權(quán)原則（POLP）

許多第三方數(shù)據(jù)泄露事件的發(fā)生是因?yàn)榈谌将@得的訪問權(quán)限超過了他們完成工作所需的訪問權(quán)限。考慮投資一個(gè)強(qiáng)大的 基于角色的訪問控制 系統(tǒng)，該系統(tǒng)遵循最小特權(quán)原則 (POLP)，這種做法將用戶、帳戶和計(jì)算進(jìn)程的訪問權(quán)限限制為僅那些需要完成手頭工作的人。