在組織將重要業務流程外包給第三方供應商的威脅環境中，供應商風險管理變得越來越重要。畢馬威 2022 年的一項研究發現，73% 的受訪者在過去三年中至少經歷過一次由第三方造成的重大破壞。現有的供應商風險管理計劃為您的組織提供了一個可訪問、一致且可擴展的框架，用于監控和管理供應商風險敞口。它還允許組織主動識別和補救潛在風險，并確保在發生網絡攻擊時業務連續性。本文詳細介紹了如何使用風險管理最佳實踐來實施有效的供應商風險管理計劃。

什么是供應商風險管理 (VRM)？

供應商風險管理 (VRM)管理和監控來自第三方供應商和服務提供商的風險。VRM 是您組織的信息風險管理和更廣泛的風險管理流程的關鍵要素，因為它是處理第三方風險的整體方式。

供應商給組織帶來的主要風險包括：

• 網絡安全風險
• 操作風險
• 法律、監管和合規風險
• 聲譽風險
• 財務風險

什么是供應商風險管理計劃？

供應商風險管理計劃是使組織能夠實施有效的第三方風險管理和緩解政策的正式流程和程序。有效的第三方風險管理計劃應涵蓋供應商生命周期的所有階段，包括供應商風險評估、供應商入職和供應商離職，并概述事件響應計劃。VRM 計劃還應包括確保供應商滿足內部和法規遵從性要求的框架。

為什么供應商風險管理計劃很重要？

VRM 計劃很重要，因為它們使組織能夠識別、管理和減輕整個供應商生態系統中的網絡安全風險，包括第三方和第四方風險。PCI DSS、HIPAA、NIST SP 800-171和ISO 27001等許多法規將其合規性要求擴展到組織的第三方供應商。不合規的供應商可能會對組織造成直接的法律、財務和聲譽損害——即使是遵守最嚴格監管合規標準的組織。同樣，即使網絡安全事件發生在供應商手中，組織也要對泄露敏感信息負責。

如何創建有效的供應商風險管理計劃

組織可以按照以下步驟建立強大的供應商風險管理計劃。

步驟 1. 編寫供應商風險管理文檔

組織必須制定適當的供應商風險管理文檔，以包含在信息安全策略中。如果沒有可使用的現有 VRM 文檔，合規團隊可以從一個大致的大綱開始，作為一個腳手架策略。一旦更好地定義了流程和程序，團隊就可以添加更多細節。

在信息安全和整個組織的背景下，最終確定的文件應明確利益相關者在供應商風險管理日常運營中的角色和責任。VRM 文檔需要不斷修訂，以跟上新的和更新的法規要求、安全狀況成熟度以及供應商庫存的變化。

步驟 2. 建立供應商選擇標準

當您的組織加入新供應商時，您可能會授予他們訪問大量敏感數據的權限。雖然您的安全控制可能符合所有內部和外部要求，但您的供應商不一定如此。供應商本身可能在內部符合法規要求，但這并不一定延伸到其客戶。

在建立新的供應商關系并信任他們保護您的數據之前，確保您的安全團隊有一個有效的流程來審查第三方是至關重要的。在征求建議書 (RFP) 和提交審查之后，選擇過程在很大程度上依賴于執行供應商盡職調查。

步驟 3. 執行供應商盡職調查

供應商盡職調查是供應商選擇過程的關鍵要素，涉及在入職前篩選潛在供應商。執行盡職調查應驗證供應商就其安全狀況、認證和合規級別所做的任何聲明。應通過持續監控在供應商生命周期的所有階段進行充分的盡職調查，以有效管理第三方合規性。

供應商盡職調查實踐通常包括：

• 至少每年發送一次風險評估問卷。
• 請求相關文檔，例如SOC-2 報告、業務連續性計劃、事件響應計劃和信息安全策略。
• 使用供應商分層定期評估高風險供應商。
• 通過安全評級和對攻擊面的持續監控來評估安全態勢。

第 4 步：定期審核您的供應商

盡職調查過程之后的定期審計使組織能夠識別合規性差距和漏洞。審計應包括對組織的供應商關系的詳細報告，包括使用安全問卷來評估持續的合規性。組織可以通過實施單一事實來源來記錄重要的供應商事件（例如簽署合同協議、風險識別和補救請求）來簡化其審計工作流程。

步驟 5. 定義報告期望

執行團隊需要定期報告以了解供應商風險管理在更廣泛的組織環境中的重要性，并推動有效的信息安全決策。報告應為所有利益相關者所理解，并包含一致的網絡安全指標，總結關鍵供應商風險組合的基本方面。一個完整的供應商風險管理平臺可以自動化整個風險管理流程。這種整合可以對重要的供應商指標進行簡明的執行報告，例如：

• 平均供應商安全評級
• 一段時間內受監控的供應商數量
• 供應商評級分布
• 改進最多和最少的供應商
• 第四方風險
• 供應商地理位置

供應商風險管理計劃最佳實踐

以下最佳實踐可幫助組織優化其供應商風險管理計劃。

1. 確定您的供應鏈攻擊面

一個有效的 VRM 計劃應該考慮到您的第三方供應商和您的第四方供應商。Gartner 報告稱，超過 60% 的組織擁有1000 多個第三方，因此獲取和維護整個供應鏈攻擊面的可見性很快變得復雜。創建供應商清單為您組織的 VRM 計劃提供了堅實的基礎，使您能夠識別所有攻擊媒介，包括您的第四方。

手動創建供應商庫存是一個耗時的過程，需要復雜的電子表格和不斷的修訂。通過手動方法識別第四方也很困難，因為組織主要依賴第三方報告，這些報告可能不是最新的或不準確的。自動化供應商風險管理解決方案提供了一個用于跟蹤第三方供應商的集中平臺，并能夠自動發現第四方供應商。組織還可以利用VRM 自動化根據重要因素（例如風險級別）對供應商進行分類。這種分類允許安全團隊在整個供應商生命周期（從采購到離職）中優先考慮他們的補救工作。

2. 優先考慮您的高風險供應商

鑒于大多數組織管理著成百上千的第三方，不可能將相同的注意力分配給每個供應商。每個供應商都給您的組織帶來獨特的風險，具有不同的重要性和緊迫性。每個風險層都有一個獨特的盡職調查流程和其他特定于層的要求，這意味著您的信息安全團隊將需要對每個供應商進行單獨分類。

管理如此大量的供應商需要優先考慮高風險供應商而不是低風險供應商。但是，仍然必須根據相同的標準化檢查定期評估所有供應商，以確保沒有潛在的網絡威脅未被發現。根據風險級別創建供應商分層系統使安全團隊能夠適當地優先考慮他們的供應商，并有效地分配和擴展他們的 VRM 工作。

3. 評估第三方監管合規性

具有公認框架的法規遵從性和認證為組織正在實施強大的網絡安全措施提供了更大的保證。無論供應鏈中的何處發生數據泄露，組織始終對保護其敏感數據負有全部責任。組織必須在整個供應商生命周期內維持徹底的 VRM 實踐，并通過安全調查問卷定期評估合規性。這種做法在金融和醫療保健等受到嚴格監管的行業中至關重要。組織可以通過將風險評估問卷模板的使用與自動化問卷工作流程的完整 VRM 解決方案相結合來簡化其風險評估流程。

4. 練習持續監控

建立供應商風險管理計劃不是“一勞永逸”的努力。入職后，安全團隊必須定期對供應商進行評估并持續監控第三方攻擊面，以確保供應商的安全狀況保持健康。隨著每天都出現新的漏洞，安全團隊必須快速識別任何第三方風險并要求立即修復。如果沒有自動化的幫助，在不斷增長的攻擊面中保持對供應商績效的持續可見性幾乎是不可能的。完整的攻擊面監控工具允許組織通過實時識別和報告整個供應鏈的網絡風險來持續監控和管理第三方和第四方風險。