第三方是您的業(yè)務(wù)生態(tài)系統(tǒng)中不可避免的重要組成部分。他們是您的供應(yīng)商、合作伙伴和承包商。它們提高了效率，擴(kuò)大了您的影響范圍，并使提供最好的產(chǎn)品和服務(wù)成為可能。然而，從安全角度來看，它們也帶來了很大的風(fēng)險(xiǎn)。第三方云的錯(cuò)誤配置可能導(dǎo)致供應(yīng)鏈數(shù)據(jù)泄露風(fēng)險(xiǎn)。這些常見的第三方風(fēng)險(xiǎn)可能會(huì)使組織在聲譽(yù)、法律費(fèi)用和收入損失方面付出代價(jià)。

供應(yīng)鏈中存在哪些數(shù)據(jù)泄露風(fēng)險(xiǎn)？

隨著您添加更多軟件即服務(wù) (SaaS) 應(yīng)用程序以簡化業(yè)務(wù)運(yùn)營，管理您的供應(yīng)鏈變得越來越困難。

2022 年數(shù)據(jù)泄露調(diào)查報(bào)告發(fā)現(xiàn)

有四種關(guān)鍵的妥協(xié)途徑：

• 證書
• 網(wǎng)絡(luò)釣魚
• 利用漏洞
• 僵尸網(wǎng)絡(luò)

82% 的違規(guī)行為涉及人為因素（憑據(jù)被盜、網(wǎng)絡(luò)釣魚等）

供應(yīng)鏈在 2021 年造成了 62% 的系統(tǒng)入侵事件

發(fā)現(xiàn)IBM 的2021 年數(shù)據(jù)泄露成本報(bào)告

數(shù)據(jù)泄露的平均總成本為 424 萬美元

損失的業(yè)務(wù)占違規(guī)成本的最大份額，平均總成本為 159 萬美元

*業(yè)務(wù)成本包括客戶流失率增加、系統(tǒng)停機(jī)導(dǎo)致收入損失以及聲譽(yù)下降導(dǎo)致獲得新業(yè)務(wù)的成本增加

識(shí)別和遏制數(shù)據(jù)泄露的平均天數(shù)為 287 天

然而，這種風(fēng)險(xiǎn)是可以控制的。一個(gè)可靠的第三方風(fēng)險(xiǎn)管理框架將幫助您了解您與第三方承擔(dān)的風(fēng)險(xiǎn)并限制您的責(zé)任。以下是您在選擇風(fēng)險(xiǎn)管理框架時(shí)需要了解的內(nèi)容。

選擇供應(yīng)商風(fēng)險(xiǎn)管理框架的5個(gè)步驟

1. 審查您的合規(guī)風(fēng)險(xiǎn)

當(dāng)您擴(kuò)展生態(tài)系統(tǒng)的成員使您面臨風(fēng)險(xiǎn)時(shí)，您需要承擔(dān)責(zé)任。如果不是你自己的錯(cuò)也沒關(guān)系。根據(jù)大多數(shù)美國數(shù)據(jù)保護(hù)法，數(shù)據(jù)所有者而不是數(shù)據(jù)持有者應(yīng)對(duì)數(shù)據(jù)泄露和暴露負(fù)責(zé)。根據(jù)通用數(shù)據(jù)保護(hù)條例 (GDPR)也是如此，該條例要求公司跟蹤和保護(hù)他們處理的數(shù)據(jù)，即使第三方正在存儲(chǔ)這些數(shù)據(jù)。為了盡量減少您的責(zé)任，您必須能夠證明您已盡職盡責(zé)。這就是風(fēng)險(xiǎn)管理框架的用武之地。

2. 了解風(fēng)險(xiǎn)管理框架

第三方風(fēng)險(xiǎn)管理框架為整個(gè)組織（包括擴(kuò)展企業(yè)）提供一組基準(zhǔn)、策略和標(biāo)準(zhǔn)。這樣的框架側(cè)重于第三方以及對(duì)組織構(gòu)成最大風(fēng)險(xiǎn)的活動(dòng)。

大多數(shù)框架要求組織執(zhí)行以下操作：

• 盤點(diǎn)組織的第三方
• 第三方可能使組織面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)目錄
• 按風(fēng)險(xiǎn)評(píng)估和細(xì)分第三方
• 專注于關(guān)鍵活動(dòng)
• 開發(fā)基于規(guī)則的盡職調(diào)查，以專注于風(fēng)險(xiǎn)最高的第三方
• 成立決策小組，自主治理
• 審查關(guān)鍵活動(dòng)，為第三方風(fēng)險(xiǎn)管理框架設(shè)定基準(zhǔn)
• 定義三道防線，包括企業(yè)主、第三方監(jiān)督和內(nèi)部審計(jì)團(tuán)隊(duì)

使用多種風(fēng)險(xiǎn)管理框架，可能很難選擇正確的一種。

3. 了解哪些框架適用于您的組織

并非每個(gè)風(fēng)險(xiǎn)管理框架都適用于每個(gè)組織。一些框架是專門為某些行業(yè)設(shè)計(jì)的，而另一些則用于某些地理區(qū)域。許多可以一起使用。

兩個(gè)最廣泛使用的風(fēng)險(xiǎn)框架是來自美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST) 和國際標(biāo)準(zhǔn)組織 (ISO) 的風(fēng)險(xiǎn)框架。其他的，例如信息和相關(guān)技術(shù)的控制目標(biāo) (COBIT)，通常在歐洲使用。一些標(biāo)準(zhǔn)被用作法規(guī)的基礎(chǔ)，例如 NIST 800-53，它是許多聯(lián)邦監(jiān)管的網(wǎng)絡(luò)安全要求的基礎(chǔ)。

了解哪些框架適用于您的組織取決于您的行業(yè)以及您的規(guī)模。由于大多數(shù)都采用基于風(fēng)險(xiǎn)的方法，因此您需要審查第三方風(fēng)險(xiǎn)，但您也可能會(huì)發(fā)現(xiàn)需求會(huì)根據(jù)您公司的獨(dú)特需求而變化。

4. 準(zhǔn)備好使用多個(gè)框架

在某些情況下，使用多個(gè)風(fēng)險(xiǎn)管理框架是有意義的。如果您使用多個(gè)框架，則需要確保您使用的框架相互映射，以便他們根據(jù)您組織的需求評(píng)估風(fēng)險(xiǎn)并實(shí)施控制，而不會(huì)在合規(guī)性方面留下任何差距。

選擇框架（或多個(gè)框架）的標(biāo)準(zhǔn)將取決于貴公司的具體需求。例如，醫(yī)療保健組織需要滿足醫(yī)療保健便攜性和責(zé)任法案 (HIPAA) 合規(guī)性要求。如果它接受付款，還需要滿足支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 的要求。

在整合多個(gè)第三方供應(yīng)商風(fēng)險(xiǎn)管理框架時(shí)，您需要從您的業(yè)務(wù)目標(biāo)開始，以確保您根據(jù)滿足這些業(yè)務(wù)目標(biāo)所需的合規(guī)性要求進(jìn)行選擇。您還需要考慮您負(fù)責(zé)的人員，例如股東、董事會(huì)成員或監(jiān)管機(jī)構(gòu)。

5. 智能管理第三方風(fēng)險(xiǎn)

公司看待風(fēng)險(xiǎn)的方式正在發(fā)生變化。根據(jù)德勤的擴(kuò)展企業(yè)風(fēng)險(xiǎn)管理調(diào)查，組織越來越多地使用擴(kuò)展企業(yè)風(fēng)險(xiǎn)管理來“利用風(fēng)險(xiǎn)的好處”，利用與第三方的合作伙伴關(guān)系來提高組織效率和品牌信心，同時(shí)變得更加創(chuàng)新和敏捷。良好的第三方風(fēng)險(xiǎn)管理框架可以保護(hù)組織的客戶、員工、知識(shí)產(chǎn)權(quán)和業(yè)務(wù)運(yùn)營。實(shí)施一個(gè)并不是要完全消除風(fēng)險(xiǎn)，而是要知道最高風(fēng)險(xiǎn)在哪里并適當(dāng)?shù)毓芾硭?/p>