来论|了解第三方风险管理

在过去几年，行业加速的数码转型，推动了业务（Business）和基础设施（Technology Infrastructure）环境的重大变化，出现了供应商获得关键支持和业务连续性的新兴趋势（Emerging Trend）。产生了新的生态系统，公司在其业务运营的供应链中，拥有大量「关键」或「第三方」供应商（Critical Support and Business Continuity Suppliers）。以下将说明甚么是第三方，以及风险管理对第三方的重要性，并强调在网络安全背景下，如何管理它们的一些建议。

第三方通常被定义为作为合约的一部分，提供服务或技术的外部供应商（Outsourcing Service Provider），例如用于存储、处理、管理及/或传输数据的技术服务，可提高公司的运营效率。当公司愈来愈依赖第三方支持时，企业必须管理第三方的风险。
甚么是第三方风险管理

风险指网络安全风险，与数据或讯息的机密性、完整性或可用性的丧失有关，并反映对企业运营和资产、个人、其他组织和国家的影响。例如二○年十二月，提供商业软件管理公司网络和IT基础设施的SolarWinds Orion System，被黑客将恶意代码插入到其系统软件中，为数以万计的客户带来系统被入侵的风险。

毕马威国际最近发表的全球研究表明，第三方风险管理是八成五企业的战略重点，主要调查结果包括第三方事故正在扰乱业务并损害声誉、企业低估了对完善第三方风险管理计画的需求而致预算不足、技术本身尚未兑现其承诺、资源有限及企业难以维持适合用途的第三方风险管理运营模式。
世界经济论坛的四大建议

企业在管理第三方风险方面没有一个万能的方法。中小型企业的规模和复杂性也与银行大有不同；而风险偏好（Risk Appetite）则因行业而异；而企业必须处理好管理第三方风险的工作。

世界经济论坛鼓励企业在管理第三方风险时，可考虑以下四项建议。第一，与第三方建立共同的网络安全基要求（Cybersecurity Baseline）。企业须通过建立明确的角色和责任以及风险拥有权，来管理第三方风险；并培养员工对网络安全学习和知识水平，以及如何与第三方合作。

其次，根据供应商产品和服务的风险等级，结合和采用不同的评估方法。第三，持续监控第三方风险和修订风险水平，并根据产品/服务类型及其重要性就合同条款达成一致。第四，与第三方持份者共享、参与并持续沟通，以团队方式合作，以更快地识别、监控和减轻网络风险。

第三方是企业向客户提供服务的必要组成部分，也是网络安全风险的主要来源。企业应正确定义和评估第三方的风险和影响，对此作优先考虑，并作持续监控，就是业务成功的关键。管理第三方风险是企业范围内的事情，需要人员和文化、专业、持份者合作，在流程和程序上保持一致，以产生有效的结果。
周大富（Jeff）
香港电脑学会网络安全专家小组执行委员会成员