企業(yè)網(wǎng)絡(luò)安全建設(shè)是一項體系化工作，任何一處的短板都將影響其最終安全防護(hù)效果。隨著數(shù)字化轉(zhuǎn)型的深入，很多企業(yè)已經(jīng)高度重視自身的網(wǎng)絡(luò)安全保障工作，卻往往忽視了對第三方安全風(fēng)險的有效管理。

　　不管企業(yè)規(guī)模大小，其在開展生產(chǎn)經(jīng)營活動的過程中，總是存在著和第三方機(jī)構(gòu)（人員）發(fā)生業(yè)務(wù)往來的交互過程，這意味著每個企業(yè)都會面臨第三方風(fēng)險威脅，包括市場環(huán)境風(fēng)險（Market environment risk）、信用責(zé)任風(fēng)險（Credit responsibility risk）、服務(wù)交付風(fēng)險（Service delivery risk）、安全控制風(fēng)險（Security controls risk）等多個方面。而與之對應(yīng)的第三方風(fēng)險管理（Third Party Risk Management，簡稱TPRM），就是要了解并管理好第三方合作機(jī)構(gòu)可能給企業(yè)本身帶來的負(fù)面影響，并采取積極主動的措施，應(yīng)對可能由此產(chǎn)生的風(fēng)險損失。

　    TPRM對金融機(jī)構(gòu)的價值

　　TPRM是一個持續(xù)的過程，用來評估、監(jiān)控和管理來自與外部有關(guān)方合作帶來的風(fēng)險。對于金融機(jī)構(gòu)而言，TPRM對于降低運(yùn)營風(fēng)險、防止?jié)撛诘呢攧?wù)損失至關(guān)重要。對于金融機(jī)構(gòu)而言，積極開展有效的第三方風(fēng)險管理，可以帶來以下好處：

　　01 確保第三方機(jī)構(gòu)與自身業(yè)務(wù)風(fēng)險偏好保持一致

　　TPRM提供了一種系統(tǒng)性的方法來識別、評估和監(jiān)控與第三方合作帶來的風(fēng)險。反過來，它讓金融機(jī)構(gòu)可以做出明智的決定，確定與其他組織或企業(yè)，甚至行業(yè)外的組織或企業(yè)建立關(guān)系或繼續(xù)合作是否安全。

　　此外，如果了解和管理與第三方合作帶來的風(fēng)險，金融機(jī)構(gòu)可以更有把握地尋求機(jī)會，同時仍堅持整體風(fēng)險偏好。

　　02 降低合規(guī)成本，提高運(yùn)營效率

　　運(yùn)作良好的TPRM計劃有助于確保金融機(jī)構(gòu)遵守監(jiān)管要求，幫助金融機(jī)構(gòu)降低由于業(yè)務(wù)違規(guī)導(dǎo)致的合規(guī)成本，比如罰款和處罰。TPRM還可以通過統(tǒng)一風(fēng)險識別和評估方法來幫助金融機(jī)構(gòu)提高業(yè)務(wù)運(yùn)營效率。此外，它有助于減少對手動風(fēng)險處置流程和跨部門重復(fù)工作的需求。

　　03 增強(qiáng)安全風(fēng)險應(yīng)對的能力

　　如果能夠清晰了解與第三方合作帶來的風(fēng)險，金融機(jī)構(gòu)就可以制定和實(shí)施更有效的風(fēng)險緩解策略。TPRM有助于金融機(jī)構(gòu)及時識別出潛在的安全風(fēng)險，并盡可能減少風(fēng)險造成的影響和損失。通過開展TPRM工作，可以幫助金融機(jī)構(gòu)與第三方服務(wù)提供商建立更穩(wěn)固的合作關(guān)系。這種聯(lián)系有助于改善風(fēng)險管理方面的溝通和協(xié)作，從而進(jìn)一步改善風(fēng)險緩解工作。

　　04 維護(hù)商業(yè)聲譽(yù)，增強(qiáng)用戶信心

　　TPRM可以幫助金融機(jī)構(gòu)避免或降低與第三方合作帶來的商譽(yù)損失風(fēng)險。此外，通過有效地管理與第三方合作帶來的風(fēng)險，金融機(jī)構(gòu)可以增強(qiáng)客戶的信心，在市場上保持良好聲譽(yù)，保障金融業(yè)務(wù)的穩(wěn)定開展。

　　TPRM落地的5個關(guān)鍵階段

　　金融機(jī)構(gòu)在開展TPRM時，可以參照企業(yè)IT風(fēng)險管理生命周期的理念，將風(fēng)險管理流程分為以下幾個關(guān)鍵階段：

　　01 風(fēng)險評估

　　風(fēng)險評估是開展TPRM的關(guān)鍵階段。風(fēng)險審計師在這個階段需要嘗試識別和評估可能與使用第三方服務(wù)相關(guān)的任何風(fēng)險。目的是查明哪些方面可能存在導(dǎo)致數(shù)據(jù)泄露或其他安全事件的漏洞。為此，風(fēng)險審計師將審查金融機(jī)構(gòu)與第三方服務(wù)提供商相關(guān)的政策和工作流程。他們還將詢問關(guān)鍵業(yè)務(wù)人員，對過去的一些工作內(nèi)容進(jìn)行審查。通過識別和評估與第三方服務(wù)提供商相關(guān)的風(fēng)險，風(fēng)險審計師可以幫助金融機(jī)構(gòu)采取措施，降低這些風(fēng)險，改善整體安全狀況。

　　02 風(fēng)險管理規(guī)劃

　　當(dāng)?shù)谌斤L(fēng)險被充分識別后，金融機(jī)構(gòu)可以進(jìn)入到第三方風(fēng)險管理規(guī)劃階段。這時需要充分聽取各利益相關(guān)者的意見，包括IT專業(yè)人員、業(yè)務(wù)部門和外部審計機(jī)構(gòu)。這個過程可能很漫長，長短取決于所審查系統(tǒng)的復(fù)雜性。該階段涵蓋的一些關(guān)鍵方面包括如下：

　　確定TPRM計劃的目標(biāo)；

　　識別需要緩解哪些風(fēng)險；

　　制定管理第三方風(fēng)險的政策和程序；

　　選擇和實(shí)施控制措施，緩解已識別的安全風(fēng)險。

　　03 效果測試

　　在風(fēng)險管理計劃到位后，風(fēng)險審計師將進(jìn)行實(shí)施測試，以確保落實(shí)到位的控制措施安全有效。這通常需要審查文件和詢問關(guān)鍵人員。

　　效果測試工作還可能需要進(jìn)行某種形式的現(xiàn)場測試，比如：

　　滲透測試：這種測試用于模擬真實(shí)世界的攻擊，從而評估系統(tǒng)和控制措施的安全性。

　　漏洞掃描：這種測試使用自動化工具來識別系統(tǒng)中的潛在安全漏洞。

　　安全評估：這種測試由安全專家團(tuán)隊進(jìn)行，他們手動測試系統(tǒng)查找漏洞。

　　04 風(fēng)險管理報告

　　TPRM在正式實(shí)施之前，需要準(zhǔn)備一份詳細(xì)說明調(diào)查結(jié)果的報告，內(nèi)容包括TPRM計劃的概述以及改進(jìn)建議。報告的目的是讓企業(yè)清楚地了解自身第三方風(fēng)險的概況，以及如何改善整體安全狀況的建議。

　　05 監(jiān)控和維護(hù)

　　TPRM的最后一個階段是監(jiān)控和維護(hù)。在這個階段將確保報告給出的建議得到實(shí)施，TPRM計劃得到有效管理。這通常需要定期審查和評估，以確保計劃仍然有效，以及任何新風(fēng)險已被識別和解決。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<