日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
第三方網(wǎng)絡(luò)風(fēng)險管理的七宗罪

本文列舉了第三方網(wǎng)絡(luò)風(fēng)險管理的“七宗罪”,正是這些行為給企業(yè)帶來了巨大的風(fēng)險。

我們提供的服務(wù)有:成都做網(wǎng)站、成都網(wǎng)站建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、保靖ssl等。為上1000+企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的保靖網(wǎng)站制作公司

***宗罪:認(rèn)為風(fēng)險可以被外包

很多企業(yè)認(rèn)為,使用第三方產(chǎn)品或服務(wù)產(chǎn)生的網(wǎng)絡(luò)風(fēng)險,應(yīng)該由供應(yīng)商來進(jìn)行管理及承擔(dān),這是絕對錯誤的。監(jiān)管機(jī)構(gòu)一直明確表示,你可以外包系統(tǒng)和服務(wù),但你不能外包風(fēng)險。2008年,聯(lián)邦存款保險公司對供應(yīng)商風(fēng)險管理做了如下規(guī)定:一個機(jī)構(gòu)的董事會和高級領(lǐng)導(dǎo)層應(yīng)負(fù)責(zé)管理通過第三方進(jìn)行的活動,并識別和控制由此帶來的風(fēng)險。美國衛(wèi)生與公眾服務(wù)部、歐盟、美國貨幣監(jiān)理署等監(jiān)管機(jī)構(gòu)也發(fā)布過類似的指南。

即使您與供應(yīng)商的合約中有關(guān)于數(shù)據(jù)違約相關(guān)的條款,或許在安全事件發(fā)生后,可能獲得一定的賠償,但財務(wù)并不是唯一的風(fēng)險。監(jiān)管機(jī)構(gòu)的罰款、企業(yè)聲譽(yù)的損失、市值的蒸發(fā),更加可怕。

第二宗罪:與第三方的合約中沒有必要的安全條款

與第三方合約中的信息安全條款,建議至少包括:

  • 對第三方進(jìn)行審計的權(quán)利;
  • 數(shù)據(jù)泄露通知;
  • 解決已識別漏洞的補(bǔ)救要求。

若是企業(yè)在解決第三方風(fēng)險問題時沒有審計權(quán),即無法有效的實(shí)現(xiàn)風(fēng)險的評估。如果沒有補(bǔ)救要求,識別出的風(fēng)險也可能無法得到解決。

在與第三方簽訂的服務(wù)協(xié)議中使用經(jīng)法律批準(zhǔn)的、標(biāo)準(zhǔn)化的信息安全附錄,確保公司對需要采取糾正措施以保護(hù)其客戶、資產(chǎn)和聲譽(yù)具有可見性和追索權(quán)。即使您企業(yè)目前仍沒有積極地管理供應(yīng)商風(fēng)險,也需要將您想要的風(fēng)險需求放入合同中。這樣做實(shí)際上將使供應(yīng)商承擔(dān)一些***的安全性需求,并為將來評估他們的安全性提供機(jī)會。

第三宗罪:認(rèn)為第三方風(fēng)險管理與業(yè)務(wù)無關(guān)

業(yè)務(wù)運(yùn)行在由內(nèi)部人員和第三方管理的復(fù)雜系統(tǒng)之上,對第三方網(wǎng)絡(luò)風(fēng)險的管理即對業(yè)務(wù)風(fēng)險的管理,這也是我們的初衷。而在實(shí)現(xiàn)風(fēng)險管理的過程中,技術(shù)同業(yè)務(wù)的協(xié)作必不可少:

  • 根據(jù)企業(yè)的信息安全標(biāo)準(zhǔn)建立供應(yīng)商績效考核;
  • 了解每個供應(yīng)商關(guān)系的業(yè)務(wù)負(fù)責(zé)人;
  • 定期向每個業(yè)務(wù)負(fù)責(zé)人報告供應(yīng)商的風(fēng)險表現(xiàn),并要求每個供應(yīng)商對滿足績效有足夠的響應(yīng)。

實(shí)現(xiàn)良好的第三方風(fēng)險結(jié)果還需要業(yè)務(wù)支持“升級路徑”,通過該路徑,我們可以清晰的看到哪些供應(yīng)商具備什么樣的問題,在該路徑中,表現(xiàn)不佳的供應(yīng)商被放在“觀察列表”上,若是沒有及時的解決問題,最終將被放在“禁止”列表上,以激勵供應(yīng)商做好風(fēng)險管理。

第四宗罪:不知道您的供應(yīng)商是誰

在進(jìn)行供應(yīng)商網(wǎng)絡(luò)風(fēng)險管理時,您只能管理已知供應(yīng)商的風(fēng)險。您掌握的供應(yīng)商名單越長,管理覆蓋到的供應(yīng)商就越多,風(fēng)險也越小。

對于新的供應(yīng)商風(fēng)險管理項目,建議分階段覆蓋到供應(yīng)商,可以從近期剛開始合作的供應(yīng)商開始,而不是試圖一次納入所有供應(yīng)商,現(xiàn)有供應(yīng)商可以通過合約更新的方式逐步覆蓋。這樣更利于風(fēng)險管理項目的展開,新供應(yīng)商最有動力遵從您的風(fēng)險管理流程,因?yàn)樗麄兿MA得您的業(yè)務(wù)。

可能需要幾年的時間,通過管理新供應(yīng)商和現(xiàn)有供應(yīng)商的合同更新,您將覆蓋絕大多數(shù)供應(yīng)商。接下來的挑戰(zhàn)是找出那些“藏匿”起來的供應(yīng)商。您可以通過企業(yè)內(nèi)的配合搜尋供應(yīng)商:比如每月對應(yīng)付賬款數(shù)據(jù)與供應(yīng)商風(fēng)險管理數(shù)據(jù)進(jìn)行核對,任何未在風(fēng)險管理數(shù)據(jù)庫中出現(xiàn)的供應(yīng)商都會被識別。

第五宗罪:信任,不去驗(yàn)證

“信任,但要驗(yàn)證”的原則在管理第三方網(wǎng)絡(luò)風(fēng)險時非常的適用。

在過去,供應(yīng)商通常以高分通過基于問卷的評估。您可以去查看現(xiàn)有的供應(yīng)商調(diào)查問卷,似乎所有的正面問題都會被肯定、似乎所有安全控制都正確的執(zhí)行。我們能否通過這些積極的證明得出目前風(fēng)險很小、可控的結(jié)論?

良好的風(fēng)險管理需要準(zhǔn)確、全面地識別風(fēng)險。供應(yīng)商的安全性認(rèn)證可以幫助您了解他們?yōu)閷?shí)現(xiàn)良好的風(fēng)險結(jié)果所做的投資,但這只是所需信息的一半。

第六宗罪:不評估第三方風(fēng)險管理項目進(jìn)行后的效果

根據(jù)2017年對企業(yè)第三方風(fēng)險管理實(shí)踐的研究,僅有37%的企業(yè)會在執(zhí)行第三方風(fēng)險管理的某些措施后,會進(jìn)行效果評估。這一點(diǎn)很讓人驚訝,這就像一個盈利企業(yè)不向投資者報告其財務(wù)業(yè)績。長此以往,第三方風(fēng)險管理的價值無法顯現(xiàn),第三方風(fēng)險管理就會變成監(jiān)管機(jī)構(gòu)需要的一個復(fù)選框,僅是在做表面文章。

目前企業(yè)的第三方風(fēng)險管理報告中,通常包括:

  • 某供應(yīng)商評估固有風(fēng)險的評分
  • 供應(yīng)商的分類評級(基于固有風(fēng)險,類似“滿意”、“有待提高”、“無法接受”)
  • 敏感數(shù)據(jù)風(fēng)險、交易風(fēng)險、聲譽(yù)風(fēng)險、經(jīng)營風(fēng)險等維度固有風(fēng)險的種類和評分
  • 按程序規(guī)范進(jìn)行過評審的供應(yīng)商百分比
  • 供應(yīng)商對風(fēng)險評估的響應(yīng)時間
  • 供應(yīng)商剩余風(fēng)險的分布
  • 對于無法承受其風(fēng)險的供應(yīng)商名單

但缺少了最重要的管理效果評估,適當(dāng)?shù)亩攘繕?biāo)準(zhǔn)可以加強(qiáng)企業(yè)管理第三方風(fēng)險的文化,這種文化對第三方的影響能給業(yè)務(wù)更好的支持,同時它們還能夠提升供應(yīng)商響應(yīng)的積極性、提升風(fēng)險管理效果,在某些情況下為企業(yè)接受某些風(fēng)險做了充足的準(zhǔn)備。

第七宗罪:將供應(yīng)商風(fēng)險管理限制為定期評估

通過定期評估管理供應(yīng)商網(wǎng)絡(luò)風(fēng)險是不夠的。即使每年進(jìn)行一到兩次評估,評估之間也會發(fā)生很多事情。例如供應(yīng)商數(shù)據(jù)泄露可能會在不知情的情況下危及您的數(shù)據(jù),可能會因?yàn)檠舆t數(shù)據(jù)外泄通知而招致監(jiān)管機(jī)構(gòu)的處罰(GDPR關(guān)于數(shù)據(jù)外泄通告的要求:組織在發(fā)生數(shù)據(jù)外泄時必須在72小時內(nèi),即刻通報給監(jiān)管機(jī)構(gòu)。并且,若外泄會給個人帶來風(fēng)險,也應(yīng)該及時通知當(dāng)事人)。


當(dāng)前標(biāo)題:第三方網(wǎng)絡(luò)風(fēng)險管理的七宗罪
路徑分享:http://www.dlmjj.cn/article/djechej.html