來論|了解第三方風險管理
2023-01-03 00:00在過去幾年,行業加速的數碼轉型,推動了業務(Business)和基礎設施(Technology Infrastructure)環境的重大變化,出現了供應商獲得關鍵支持和業務連續性的新興趨勢(Emerging Trend)。產生了新的生態系統,公司在其業務運營的供應鏈中,擁有大量「關鍵」或「第三方」供應商(Critical Support and Business Continuity Suppliers)。以下將說明甚麼是第三方,以及風險管理對第三方的重要性,並強調在網絡安全背景下,如何管理它們的一些建議。
第三方通常被定義為作為合約的一部分,提供服務或技術的外部供應商(Outsourcing Service Provider),例如用於存儲、處理、管理及/或傳輸數據的技術服務,可提高公司的運營效率。當公司愈來愈依賴第三方支持時,企業必須管理第三方的風險。
甚麼是第三方風險管理
風險指網絡安全風險,與數據或訊息的機密性、完整性或可用性的喪失有關,並反映對企業運營和資產、個人、其他組織和國家的影響。例如二○年十二月,提供商業軟件管理公司網絡和IT基礎設施的SolarWinds Orion System,被黑客將惡意代碼插入到其系統軟件中,為數以萬計的客戶帶來系統被入侵的風險。
畢馬威國際最近發表的全球研究表明,第三方風險管理是八成五企業的戰略重點,主要調查結果包括第三方事故正在擾亂業務並損害聲譽、企業低估了對完善第三方風險管理計畫的需求而致預算不足、技術本身尚未兌現其承諾、資源有限及企業難以維持適合用途的第三方風險管理運營模式。
世界經濟論壇的四大建議
企業在管理第三方風險方面沒有一個萬能的方法。中小型企業的規模和複雜性也與銀行大有不同;而風險偏好(Risk Appetite)則因行業而異;而企業必須處理好管理第三方風險的工作。
世界經濟論壇鼓勵企業在管理第三方風險時,可考慮以下四項建議。第一,與第三方建立共同的網絡安全基要求(Cybersecurity Baseline)。企業須通過建立明確的角色和責任以及風險擁有權,來管理第三方風險;並培養員工對網絡安全學習和知識水平,以及如何與第三方合作。
其次,根據供應商產品和服務的風險等級,結合和採用不同的評估方法。第三,持續監控第三方風險和修訂風險水平,並根據產品/服務類型及其重要性就合同條款達成一致。第四,與第三方持份者共享、參與並持續溝通,以團隊方式合作,以更快地識別、監控和減輕網絡風險。
第三方是企業向客戶提供服務的必要組成部分,也是網絡安全風險的主要來源。企業應正確定義和評估第三方的風險和影響,對此作優先考慮,並作持續監控,就是業務成功的關鍵。管理第三方風險是企業範圍內的事情,需要人員和文化、專業、持份者合作,在流程和程序上保持一致,以產生有效的結果。
周大富(Jeff)
香港電腦學會網絡安全專家小組執行委員會成員
關鍵字
最新回應