在供应链中识别关键供应商

增强供应商风险管理

在我们之前的文章中 供应商风险管理 我们提到,组织将一些业务流程外包给外部服务提供商将其允许更多地关注其核心功能的共同规范。在此过程中,敏感数据被共享并存储在供应商网络中,这可能是某些公司不了解的风险来源。此前,已举报了若干事件是由这些供应商引起的。

例如,2014年的目标违约是暖通氟港供应商安全宽松的结果 ,外包软件被指责为Equifax的巨型泄露 和律师事务所在海上避税上违反1300万张文件的来源 。 Ponemon Institute进行的一项研究发现,由第三方造成的数据违规是在上升的上升,其中56%的组织报告曾经历过卖方造成的违规行为。该研究进一步表明,平均而言,美国公司每件罚款,客户丧失和补救程序支付7,350,000百万美元。

不幸的是,尽管有令人震惊的研究结果,但大多数公司缺乏对第三方的安全实践的可见性,而是继续分享敏感信息和流程。事实上,他们缺乏更新的库存,其中包含所有接受关键数据的所有第三方。这会自动意味着公司不知道他们的供应商是否有可能降低网络事件的政策。实际上,需要努力来提高第三方治理计划的有效性。现在,前瞻性思维组织的往往是完全接近供应商风险管理的,策略现在被视为董事会级别问题。

这意味着供应商风险管理是网络安全的一个至关重要的过程 。很明显,供应商风险的适当治理降低了网络事件的可能性。此博客详细介绍了识别和维护供应商风险管理计划中的关键供应商。这是减少可能来自关键第三方的未来数据漏洞的关键步骤。

最终,您需要查看:您与他们分享哪些数据(包括客户数据)?您提供哪些访问权限(对您的系统和信息)以及为什么?而且,您对其服务的依赖性/他们如何恢复/更换?“说
詹姆斯·瓦博尔,首席执行官和总法律顾问 Fathom Cyber LLC. .

关键的供应商和关键活动

谁是关键的供应商?快速谷歌搜索提供了关键供应商的几个定义。第三方的关键性由业务或单位决定。可以用于定义关键活动和供应商的一些一般定义包括:

  1. 关键活动的OCC定义涵盖了至关重要的职能和显着的共享服务,如果供应商未能满足预期,或可能对客户产生影响,或者可能对业务运营产生影响,或者可能需要有效,或者可能对业务运营产生影响,或者可能对业务运营产生影响,或者可能会对业务运营产生影响,或者可能对业务运营产生影响,或者可能对业务运营产生影响,或者可能对业务运营产生影响,或者可能对业务运营产生影响,或者可能对业务运营产生影响,或者可能对业务运营产生影响,或者可能对业务运营产生影响,或者可能需要有效的服务资源投资实施关系和管理风险 .
  2. 关于美国银行家的一篇关于任何服务提供者或第三方的一篇关于任何服务提供者或第三方,可以吸引监管审查或对业务产生重大影响,包括如果所提供的服务被扰乱,包括损失的风险 。如果他们可以访问公司的网络和敏感数据,则将第三方分类为关键供应商,或向组织提供关键服务。

根据John Eckert的说法,OCC的运营风险总监和核心政策,“关键活动现在是一个热门话题。“企业为企业批评批判性或对业务中断的关键项是重要的,并且应根据预定的监管项目进行排名。对于所有关键的供应商,公司应该:

  • 对供应商尽职调查的某些方面进行彻底评估
  • 对供应商的业务连续性计划进行审查
  • 开发退出策略

根据上述建议,企业必须识别和执行适当调查的所有关键厂商,他们将获得公司网络或信息的所有关键厂商。

有助于确定第三方临界的因素

值得注意的是,在环境中访问,共享或存储非敏感数据的第三方可能不会将类似的风险与供应商访问,处理,分享或存储其在数据中心中的业务中的个人信息。因此,应考虑一些因素以适当地识别风险并根据其关键性分开第三方。

部署的一些因素确定供应商的关键性包括:

  • 商业中断因素
  • 数据量& Type
  • 监管要求
  • 供应商类型
  • 提供具体服务

上述因素和许多可以由特定业务定义的其他因素可以有效地应用于确定临界性和水平以及在供应商上的尽职调查频率。第三方可以分为各种级别,如:

风险水平 风险评级/关键性 风险因素 风险评估类型
1级 高的 违规会导致业务中断,供应商商店,流程和分享PII属于第三方的数据中心的业务。 业务应定期进行现场风险评估。供应商应提供安全控制的证据。
2级 缓和 违规导致监管合规性问题。 现场评估可以进行但不定期进行。业务应要求供应商使用的控制证据。
3级 低的 供应商在业务环境中访问非敏感信息。 不需要现场风险评估。但是,如果发生事件,可以审查供应商。

根据水平,企业可以决定在供应商上进行的风险评估的频率和类型。显然,成功的风险管理计划考虑了几个组件。最初的步骤涉及商业审查一组一致的评估问题,以获得供应商的固有风险的服务。与此同时,根据特定因素对供应商分类为风险水平有助于避免将所有第三方填充到共同的风险类别中,这可能会占用太多资源以确保风险得到适当的识别和管理。实际上,企业必须描述固有的危险因素,并确定比其他风险更为重要的因素。

识别关键供应商

目标,Equifax和Paradise论文违反其他人向组织教授关键课程。也许,从事事件中吸取的最重要的教训是,任何具有访问公司客户数据或公司网络和系统的供应商都是潜在的风险。

因此,供应商风险管理中的重要步骤涉及识别业务中的关键供应商。不幸的是,组织在建立标准和程序识别他们的关键供应商的标准和程序时面临挑战。幸运的是,他们可以根据要评估的风险和第三方范围创造综合策略。组织应该能够检查每个第三方对组织构成的风险,以有效地管理风险。该过程涉及检查和了解所有供应商,并根据他们对公司信息和网络的访问量来确定其关键性。实际上,应建立和部署全面的策略,以解析所有供应商。

可以遵循以下步骤以根据其关键性识别和排名供应商:

  1. 供应商库存 :第一步涉及创建您使用的所有第三方的列表。该列表应明确识别可访问敏感数据和公司网络的所有供应商。如果供应商可以访问此信息,那么必须确定供应商的数据违反业务的影响。供应商信息来源包括:
    1. 审查合同
    2. 列出所有已知的供应商
    3. 审查财务部门应付账款的信息
  2. 关键供应商标准开发: 供应商根据与公司的关系相关的风险排名。包含各种风险分类的策略,作为行业最佳实践和监管要求的指导可用于创建供应商风险排名。
  3. 测试供应商评级系统: 根据其在关系中的风险确定和排列所有供应商之后,对适当调查进行考验至关重要,以评估第三方的网络安全性弹性。测试您的评级系统涉及通过具有单个供应商的现实方案运行,以确保流程是声音。该测试应涉及审查供应商的安全控制,其业务连续性计划,事件响应政策和违反其他人之间的要求。尽职调查涉及从供应商和分享企业认为对其网络安全姿势至关重要的要求和分享证据文件。
  4. 记录和改进评级系统: 此步骤涉及记录需要改进评级规模的所有区域,这些区域决定了卖方至关重要。定义和提供含义在使用的标称或序列秤背后。最后,将规模与企业风险管理活动对齐,并确保将“高风险”传达给其他业务单位,供应商风险管理团队使用类似的语言。

总之,建议应通过考虑对组织的声誉或稳定性的影响来确定关键卖方,如果第三方遭到损害,则应妥协。如果如果他们未能为承诺提供服务,或者如果他们被违反,则供应商分类为致力于危急。在大多数情况下,这种供应商很容易识别。例如,向公司提供薪资服务的第三方将被评级为重要的,因为个人可识别的数据将与供应商共享。但是,在某些情况下,分类关键供应商的过程需要更多的努力和因素,并考虑并考虑。

在下一个博客中,我们将讨论如何将供应商关键性妥善链接到经典网络安全的机密性,完整性和可用性(CIA)Triad!来源:

//www.csoonline.com/article/2601021/security0/11-steps-attackers-took-to-crack-target.html

//www.nytimes.com/2017/09/07/business/equifax-cyberattack.html

//www.opus.com/ponemon/#infographic-form

//occ.gov/news-issuances/bulletins/2013/bulletin-2013-29.html

//www.americanbanker.com/news/new-rules-force-banks-to-decide-which-vendors-are-critical