來論|了解第三方風險管理

在過去幾年，行業加速的數碼轉型，推動了業務（Business）和基礎設施（Technology Infrastructure）環境的重大變化，出現了供應商獲得關鍵支持和業務連續性的新興趨勢（Emerging Trend）。產生了新的生態系統，公司在其業務運營的供應鏈中，擁有大量「關鍵」或「第三方」供應商（Critical Support and Business Continuity Suppliers）。以下將說明甚麼是第三方，以及風險管理對第三方的重要性，並強調在網絡安全背景下，如何管理它們的一些建議。

第三方通常被定義為作為合約的一部分，提供服務或技術的外部供應商（Outsourcing Service Provider），例如用於存儲、處理、管理及/或傳輸數據的技術服務，可提高公司的運營效率。當公司愈來愈依賴第三方支持時，企業必須管理第三方的風險。
甚麼是第三方風險管理

風險指網絡安全風險，與數據或訊息的機密性、完整性或可用性的喪失有關，並反映對企業運營和資產、個人、其他組織和國家的影響。例如二○年十二月，提供商業軟件管理公司網絡和IT基礎設施的SolarWinds Orion System，被黑客將惡意代碼插入到其系統軟件中，為數以萬計的客戶帶來系統被入侵的風險。

畢馬威國際最近發表的全球研究表明，第三方風險管理是八成五企業的戰略重點，主要調查結果包括第三方事故正在擾亂業務並損害聲譽、企業低估了對完善第三方風險管理計畫的需求而致預算不足、技術本身尚未兌現其承諾、資源有限及企業難以維持適合用途的第三方風險管理運營模式。
世界經濟論壇的四大建議

企業在管理第三方風險方面沒有一個萬能的方法。中小型企業的規模和複雜性也與銀行大有不同；而風險偏好（Risk Appetite）則因行業而異；而企業必須處理好管理第三方風險的工作。

世界經濟論壇鼓勵企業在管理第三方風險時，可考慮以下四項建議。第一，與第三方建立共同的網絡安全基要求（Cybersecurity Baseline）。企業須通過建立明確的角色和責任以及風險擁有權，來管理第三方風險；並培養員工對網絡安全學習和知識水平，以及如何與第三方合作。

其次，根據供應商產品和服務的風險等級，結合和採用不同的評估方法。第三，持續監控第三方風險和修訂風險水平，並根據產品/服務類型及其重要性就合同條款達成一致。第四，與第三方持份者共享、參與並持續溝通，以團隊方式合作，以更快地識別、監控和減輕網絡風險。

第三方是企業向客戶提供服務的必要組成部分，也是網絡安全風險的主要來源。企業應正確定義和評估第三方的風險和影響，對此作優先考慮，並作持續監控，就是業務成功的關鍵。管理第三方風險是企業範圍內的事情，需要人員和文化、專業、持份者合作，在流程和程序上保持一致，以產生有效的結果。
周大富（Jeff）
香港電腦學會網絡安全專家小組執行委員會成員