传统供应商风险管理(VRM)过程已经被打破。大多数公司没有一个全面的风险管理策略,发现威胁和漏洞的速度无法满足管理需求。德勤的一项研究发现20.6%的受访者都经历过因它们的第三方导致的客户敏感数据泄露。 Ponemon Institute 在对第三方风险研究中发现,78%的受访者表示在第三方风险方面网络攻击将产生重大影响,76%表示物联网也将产生重大影响。面对新技术,目前供应商风险管理过程不具备处理日益增长的对新的或者已有的供应商进行安全风险评估的强烈需求。 同样,德勤在之前的研究报告中也提到,45%的受访者认为灵活性和可扩展性是供应商风险管理中的最大价值。有一个降低第三方风险的过程是至关重要的,并确保你的供应商没有让你暴露未知风险。 然而,对供应商风险管理的一个主要挑战是需要在委托评估供应商时能够区分不同层面的风险。在 Shared Assessment 的《2015年供应商风险管理基准研究》中,有关供应商风险识别与分析成熟度领域的测量结果显示,从2014年到2015年,成熟度并无改善,评分还是2.7分(总分5.0) 以下3步我们将向您展示如何改善你的VRM的过程,开始识别每个供应商的风险水平,并且确定供应商进行现场评估和渗透测试的优先级。 第1步 识别和分析您的特定风险偏好 在普华永道第三方风险管理报告中,有必要从供应商服务的范围角度考虑采取更有效的风险评估方法。 对您公司来说,并不是所有的风险都是关键。根据所在行业,需要首先识别公司特定的潜在风险,然后进行高、中、低风险分级。这将帮助你确定处置重要安全风险的优先顺序,确保您基于重要标准来评估供应商。 一个好的参考框架如下: 如果第三方发生泄密时,哪些信息带来的损失更大? 专利信息 客户财务信息 员工身份信息 其他第三方数据 财务和战略相关的信息 评估这些风险需要考虑与供应商的交互性和依赖性。针对带来的潜在影响来准确的进行分级: 声誉损害? 经济处罚或损失? 可能引起诉讼? 股东的不满? 这种风险识别和分析提供了一个更全面的评估方法,您能更好的评估供应商。 第2步 针对企业特性将你的供应商风险进行分级 详细的评估公司风险,你应该考虑组织和供应商之间关系来定义风险类型。 他们会访问你的员工或客户数据吗? 他们会和你的系统进行网络对接吗? 他们会和第三方或分包商交换你的信息吗? 如果他们进行信用卡交易相关应用,必须要符合PCI合规要求。 定义您的供应商的服务风险之后对这些风险进行排序。前面提到的德勤研究中提供了一个标准化方法来评估现有和未来的供应商,风险分为5个等级,极高、高、中、低和极低。 在改善和更新您的供应商风险管理过程中,结合自定义的风险偏好去了解供应商服务风险是一个重要的步骤。区分风险对公司和你的供应商风险至关重要,这让你有把握对高、中、低风险供应商进行定义。让你能够对最关键的供应商开展委托评估进行核查,从而确定预算。 第3步 评估高风险供应商 首先,利用必要的资源选择评估方法执行评估。要考虑的三个最重要的资源是: 1 财务成本 2 时间投入 3 员工需要 现场评估这种高资源投入方法是昂贵的,需要在现场投入多名专业人员,并且需要一段时间才产生结果。你应该只对高风险供应商采取这些方法。对于其他供应商,您可以委托评估,花费更少的资源,如调查问卷或供应商自我评估。 在完成对供应商和关键风险分级之后,开始评估供应商。这样可以确保你对最有可能使你发生泄密的供应商进行资源的投入。 这种灵活的和可扩展的框架可以应用于所有现有的和即将合作的供应商,优化资源,减轻你的供应商的风险。 例如国外的 SecurityScorecard 产品等,国内的“安全值(aqzhi.com)能够帮助你利用合理的资源优先评估关键供应商,通过简单的安全量化评估来对供应商安全风险进行排列。 |
