|
除了报告提及的内容之外,还有一些问题也导致组织的第三方风险管理存在潜在风险,这些问题包括[1]
- 在没有评估第三方风险管理实践充分性和合规性的情况下签订合同;
- 未在合同中写入并激励第三方承担对组织或其客户的恶意风险,也未能使第三方的收入在最大化的同时实现双赢;
- 在没有合同的情况下开展和从事非正式的第三方关系;
三、第三方风险管理应对
1. 第三方风险管理流程及内容
第三方风险管理的流程仍然遵循着风险管理生命周期的理念,因此第三方风险管理可以从常规的风险管理生命周期演进变化而来。从这个角度出发,我们可以将第三方风险管理流程分为以下六个关键阶段:
- 合规和战略
- 审视合规要求,计划和明确组织的TPRM战略,包括如何选择、评估和监管第三方;
- 建立TPRM程序与流程并确保程序执行的统一性和唯一性;
- 需求定义与风险评估
- 评估第三方需求的必要性;
- 贯彻尽职调查和第三方采购/合作风险评估;
- 评估第三方的价值提供及风险概况;
- 决定是否选择新的第三方以及是否对现有合作第三方的关系重新进行定义(升级、降级或终止);
- 第三方选择、采购以及尽职调查
- 执行市场和集中风险分析;
- 梳理需求场景并据此对第三方进行归类;
- 根据组织安全策略和合规监管的要求,要求第三方完成指定的安全自评估;
- 对选定第三方进行评估和风险分析;
- 合同签署
- 合同内容除了产品/服务内容,还包含第三方管理协议(Third-Party Management Agreements,TPMA)也称业务关联协议(Business Associate Agreements, BAA)[8]
- BAA内容覆盖关键的合规和法律要求,以及对隐私信息、知识产权等的保护要求;
- BAA内容涵盖明确的KPI考核,SLA要求,以及应急和修复的要求;
- 用第三方所在国的官方语言编写合同副本,确保第三方对合同内容的正确理解和认可;
- 持续监控与报告
- 开展对第三方的培训以确保其知晓并遵循合规要求和组织安全策略要求;
- 对第三方的市场经营、财务状况、对应产品研发情况等进行监控;
- 确立风险基线和触发上报机制;
- 对第三方合作过程和成果质量进行监控、评估和报告,以评估与其关系的维系和级别升降;
- 建立当双方发生争议或问题时的解决程序(包括触发机制、沟通机制、纠正程序、跟踪关闭程序);
- 回顾与终止
- 定期或适时对TPRM策略和程序进行回顾和修订;
- 建立与第三方的合作终止程序;
- 执行第三方终止风险评估和变更风险评估;
2. 第三方风险管理评估的checklist
在践行第三方风险管理的时候,组织可以通过设定一个checklist表格或问卷来帮助充分了解和评估组织在第三方风险管理方面的现状和问题。Checklist的调查内容通常包括如下:
- 当前的建设发展和运行阶段需要怎样的第三方进行参与和合作?
- 是否已建立TPRM程序?
- 是否已建立第三方列表和资料库?
- 是否已了解第三方的市场经营、财务状况、服务能力、研发能力以及市场声誉等背景情况?
- 第三方是否经历过安全事件、事件严重程度如何、其响应速度和处置效果如何?
- 第三方是否清晰知晓组织的安全管理策略与要求?
- 第三方是否清晰知晓相应的合规监管要求?
- 第三方是否建立自有的安全策略和安全程序?
- 第三方的安全管理是否满足合规以及内部的要求?
- 第三方是否拥有并提供充足的受到良好训练的人员?
- 第三方提供的产品/服务的价值如何,是否满足要求?
- 是否了解哪些敏感信息因为和第三方合作而可能被访问和使用?
- 是否对第三方的接入提供可控的物理和网络接入环境?
- 是否有充足的技术措施以控制第三方对敏感信息的访问、使用?
- 是否具备有效的监督管理机制和技术监控措施实现对第三方的持续监控管理?
- 对第三方的审计评估是否由独立的审计部门完成?
- 合同中是否涵盖了信息安全要求、SLA要求、KPI考核、风险和法律承担义务等要求?
- 合同的签署是否得到了内部使用部门、安全部门和法务部门的审核和确认?
四、结束语 (编辑:辽源站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
