来论|了解第三方风险管理
2023-01-03 00:00在过去几年,行业加速的数码转型,推动了业务(Business)和基础设施(Technology Infrastructure)环境的重大变化,出现了供应商获得关键支持和业务连续性的新兴趋势(Emerging Trend)。产生了新的生态系统,公司在其业务运营的供应链中,拥有大量「关键」或「第三方」供应商(Critical Support and Business Continuity Suppliers)。以下将说明甚么是第三方,以及风险管理对第三方的重要性,并强调在网络安全背景下,如何管理它们的一些建议。
第三方通常被定义为作为合约的一部分,提供服务或技术的外部供应商(Outsourcing Service Provider),例如用于存储、处理、管理及/或传输数据的技术服务,可提高公司的运营效率。当公司愈来愈依赖第三方支持时,企业必须管理第三方的风险。
甚么是第三方风险管理
风险指网络安全风险,与数据或讯息的机密性、完整性或可用性的丧失有关,并反映对企业运营和资产、个人、其他组织和国家的影响。例如二○年十二月,提供商业软件管理公司网络和IT基础设施的SolarWinds Orion System,被黑客将恶意代码插入到其系统软件中,为数以万计的客户带来系统被入侵的风险。
毕马威国际最近发表的全球研究表明,第三方风险管理是八成五企业的战略重点,主要调查结果包括第三方事故正在扰乱业务并损害声誉、企业低估了对完善第三方风险管理计画的需求而致预算不足、技术本身尚未兑现其承诺、资源有限及企业难以维持适合用途的第三方风险管理运营模式。
世界经济论坛的四大建议
企业在管理第三方风险方面没有一个万能的方法。中小型企业的规模和复杂性也与银行大有不同;而风险偏好(Risk Appetite)则因行业而异;而企业必须处理好管理第三方风险的工作。
世界经济论坛鼓励企业在管理第三方风险时,可考虑以下四项建议。第一,与第三方建立共同的网络安全基要求(Cybersecurity Baseline)。企业须通过建立明确的角色和责任以及风险拥有权,来管理第三方风险;并培养员工对网络安全学习和知识水平,以及如何与第三方合作。
其次,根据供应商产品和服务的风险等级,结合和采用不同的评估方法。第三,持续监控第三方风险和修订风险水平,并根据产品/服务类型及其重要性就合同条款达成一致。第四,与第三方持份者共享、参与并持续沟通,以团队方式合作,以更快地识别、监控和减轻网络风险。
第三方是企业向客户提供服务的必要组成部分,也是网络安全风险的主要来源。企业应正确定义和评估第三方的风险和影响,对此作优先考虑,并作持续监控,就是业务成功的关键。管理第三方风险是企业范围内的事情,需要人员和文化、专业、持份者合作,在流程和程序上保持一致,以产生有效的结果。
周大富(Jeff)
香港电脑学会网络安全专家小组执行委员会成员
關鍵字
最新回应