IT 风险管理和第三方风险管理最终指南

NAVEXOne®最终指南IT 风险管理和第三方风险管理最终指南开始使用 ITRM 和 TPRM 1 / / NAVEX IRM 最终指南NAVEX. COMContents作者 ： NAVEX IRM 2 总经理 Haywood Marsh为什么 TPRM 和 IT 风险获得牵引? 45--TPRM 计划的潜在风险涵盖 8810常见的第三方风险管理计划问题11IT 和 TPRM 风险入门快速指南12评估第三方风险和 IT 风险的成熟度14管理计划成熟度问卷151717参与利益相关者和打破孤岛19问卷调查之后 - 后续步骤19谁在您的组织中拥有风险 - 以及为什么2021自动化 - 远离电子表格和23手动流程Conclusion 2 / / NAVEX IRM 最终指南NAVEX. COM前言BY: HAYWOOD MARSHNAVEX IRM 总经理尽管 IT 系统和第三方供应商的潜在妥协对其业务至关重要，组织面临着深刻的财务，监管，声誉和运营风险，但 NAVEX 最近的调查数据显示，只有 36 ％ 的组织在评估这些风险时达到或超过 “成熟 ” 水平。幸运的是，我们的工作还表明，一些关键举措可以。帮助组织快速成熟管理 IT 和第三方风险的能力和文化 ， 为实现真正优化的计划开辟道路 ， 同时快速展示切实的业务价值。本 NAVEX IT 风险和第三方风险管理最终指南是您开启 ITRM 和 TPRM 成熟度旅程的路线图，专注于快速取胜，为提高自动化和有效性奠定坚实的基础。根据《安全》杂志的报道，82 ％ 的公司允许第三方高度特权地访问云数据，并且每个敏感数据处理程序面临的持续威胁每年都在增加。本指南将展示任何组织如何构建一个计划，其中所有利益相关者都在管理风险中发挥作用，而成功意味着不仅仅是选中一个框。虽然显然是一个商业问题，但人们甚至可以看到，在庞大的 IT 和第三方环境中管理风险是道德甚至道德上的当务之急。消费者相信各种规模的现代组织都能管理他们的敏感数据，无论这些数据位于何处，供应链上的任何地方都可能对日常生活产生重大影响。领导者在执行一个强大的综合风险管理战略，从而帮助他们的组织的价值观和文化作为一个整体定下基调。无论您是刚刚开始还是希望将 ITRM 和 TPRM 计划提升到一个新的水平 ， 本指南都将为您提供信息并加强您的努力。 3 / / NAVEX IRM 最终指南NAVEX. COMIntroductionIT 风险和 IT 风险管理 (ITRM)简而言之 ， 风险是不良事件发生的可能性。一些更严重的不良事件是由 IT 系统风险引起的。安全漏洞、损坏的数据或其他 IT 系统问题可能会产生巨大的负面影响运营、财务绩效和企业品牌声誉。更重要的是 ， 这些风险不仅限于组织的内部 IT 系统。在当今日益互联的经济中 ， 供应商 IT 风险管理 - 更一般地称为第三方风险管理 (TPRM) - 同样重要。当这些事件影响组织及其数据或信息时 ， 结果可能会对财务和声誉产生负面影响。信息技术 (IT) 风险是对您的业务数据、技术系统或业务流程的任何威胁。它是与组织内 IT 的使用、所有权、运营、参与、影响和采用相关的风险。IT 风险有可能损害业务价值，并且通常来自流程和事件的管理不善。IT 风险计划，包括那些了解供应商 IT 风险的计划，专注于识别和减轻可能危及 IT 功能的事件。这些可能包括网络通信困难、硬件和软件故障、自然灾害、人为错误和恶意网络攻击。关于最后一点，组织必须越来越多地考虑由未经授权的用户引起的 IT 风险。然后评估它对收集、传输或存储的数据的机密性、完整性和可用性产生负面影响的可能性。成功管理任何运营或系统相关风险需要一个系统的方法 ， 该方法应包括以下所有内容 ： 风险评估和分析、风险评估、优先级排序和控制测试。•资产和流程标识- 软件、硬件、存储数据、技术控制、政策和程序•风险识别- 风险类别包括设备或数据完整性泄露、不遵守法规、内部不当行为或网络故障•风险优先排序- 确定哪些已识别的风险对组织造成最大的影响•程序定义- 选择构建程序的风险框架 ， 包括 COBIT ， COSO ， NIST ， ISO 或 FAIR“信息技术 (IT) 风险是对您的业务数据、技术系统或业务流程的任何威胁 ” 4 / / NAVEX IRM 最终指南NAVEX. COM无论 IT 风险计划成熟度如何 ， IT 风险评估都是一个有价值的工具。这项工作将有助于识别和确定 IT 相关风险的优先级 ， 这些风险可能导致代价高昂的安全漏洞或其他系统相关故障。第三方风险和第三方风险管理 (TPRM)第三方风险管理 （ TPRM ） 是一种风险管理形式 ， 其重点是识别和减少与使用第三方 （ 通常称为 “供应商 ” ，“ 供应商 ” ， “合作伙伴 ” ，“contractors ” or“ service providers ”) 。 TPRM 旨在建立对第三方合作伙伴政策、流程和实践的详细洞察 ， 并确保现有的保障措施合规。 TPRM 涉及全面分析与这些外部合作伙伴的关系产生的风险。第三方风险管理计划承担的范围和方法可能差异很大。许多 TPRM 最佳实践是通用的 ， 适用于每个企业或组织 ， 尽管可能存在与行业、监管指导或其他因素相关的影响和细节。The definition of third - party risk may vary, especially depending on industry - specific dynamics. The术语 “第三方风险管理 ” 通常与其他常见的行业术语互换使用 ， 如“ 供应商风险管理 ” 、 “供应商 ”管理 ” 、 “供应商风险管理 ” 或“ 供应链风险管理 ” 。但是 ， TPRM 可以被认为是涵盖所有类型的第三方和相关风险的总体纪律。为什么 TPRM 和 ITRM 计划获得牵引 ？许多快速增长的公司缺乏内部基础设施来满足其市场份额和收入目标。外包已经成为组织用来加速的最常见手段之一并维持其增长。如今 ， 第三方领域不仅包括供应商列表 ， 还包括物流供应商 ， 人力资源服务 ， 软件开发 ， 财务记录保存 ， 物理安全 ， 网络安全和许多其他功能。这些合作伙伴通常完全整合到客户公司的运营中 ， 并提供改善服务、降低成本和使企业能够专注于核心竞争力和增长。但是这种策略是有代价的。最大化这些关系的回报通常需要合作伙伴have insight and access to operational data and IT systems. So each third - party relationship represents a potential security and privacy risk. Failure of an organization to secure these relationship - andThe subsequent potential of brand and reputational damage - is re - prioritizing the need for TPRM and for execuants to address the company ’ s ability to manage risk exposure. If a third party is negligent or在保护组织资产时准备不足 ， 组织可能面临财务、声誉或法律后果。第三方风险管理 (TPRM)是一种风险管理形式 ， 侧重于识别和减少与使用第三方 （ 通常称为 “供应商 ” ，“ 供应商 ” ， “合作伙伴 ” ，“ 承包商 ” 或 “服务提供商 ” ） 有关的风险。 5 / / NAVEX IRM 最终指南NAVEX. COM组织对自己的平均评分为3.5/5在他们访问跨业务功能的数据时。买家和供应商之间更紧密的关系创造了巨大的价值 ， 并帮助供应链变得更具弹性 - 但如前所述 ， 这可能是有代价的。随着第三方或供应商关系继续从核心组织转移到供应链下游 ， 新的风险出现了。尽管这些风险来自各个方向，但公司通常在安全资源不足的情况下运营。随着网络攻击的频率、复杂性和影响的增加，这个问题被放大了。与此相关的是，不良行为者经常改进和更新他们的努力，以破坏系统、网络和信息，使网络安全成为一个移动的目标。跟上风险管理趋势并采取主动、分析驱动的立场的组织将通过更好地识别和降低风险来保护业务价值。第三方和 IT 风险计划的成功取决于保护数据 ， 同时利用先进的技术持续监控、评估和预测风险事件。因此，组织正在寻求构建高效且可扩展的流程来管理 IT 和第三方风险。许多人只是在他们的计划开始时加入新的供应商，或者让他们的现有供应商通过一个强大的第三方风险评估过程。随着组织继续更多地依赖第三方来提供必要的业务产品或服务，风险管理专业人员和风险计划对整个公司的成功至关重要。IT 风险和 TPRM 计划影响因素数据中的妥协、 IT 安全漏洞和合规性违规越来越多地追溯到供应商、供应商和其他第三方关系。作为回应，风险管理领导者必须加强对建立和维护强大的 TPRM 计划的关注。这些计划的创建或成熟源于众多影响，这些影响分为四个重点领域 ： 人员，计划进展，监管和风险。人员 - 分解筒仓不成熟的第三方风险计划的一个关键指标是各种业务部门在孤岛中运行。孤立沟通的直接影响是 ， IT 风险和 TPRM 团队面临着有效建立跨职能流程以实现数据共享的挑战 ， 同时维护数据安全并促进一致的评估能力。例如 ， 人力资源或采购团队可能有自己的供应商筛选和入职标准。然而 ， 这些实践可能不包括 - 甚至与 - 风险和合规性或 IT 安全团队所需的政策和程序冲突。来源 ： 2021 Navex 最终风险和合规基准报告的组织允许第三方访问所有云数据。 6 / / NAVEX IRM 最终指南NAVEX. COM•••In contrast, efficient and scalable third - party program and cross - functional teams alignment with program and process. These program drive internal partnership and leverage data that provide a detailed view of third - party services. As a result, elements ofTPRM 计划 - 例如供应商入职和风险管理流程 - 在协作环境中更为强大。无论重点是网络安全、第三方风险还是更广泛的合规性和运营风险挑战 ， 消除孤岛对于在整个组织的整个供应商组合中实现风险战略观点至关重要。程序推进 - 流程自动化是关键即使是成熟的风险管理计划也有流程改进的空间。在成熟的每个阶段 ， 有充分的理由相信该计划仍然可以通过使用具有集成风险管理或 IT 风险和 TPRM 功能的软件即服务 （ SaaS ） 解决方案来改进。Programs looking for the immediate value - add of automation usually face process - burdened, workload - intense or complex workflow challenges. These programs tend to be “project oriented ” with the goal改进围绕供应商选择、入职和监控的流程。手动或面向电子表格的风险流程极大地受益于更健壮、有目的的软件提供的增值。成熟度评估或调查表有助于确定程序在开发生命周期中所处的位置 ， 并指出自动化计划的重点领域。受益于自动化的 TPRM 程序通常包括以下特征 ：•有限或没有监督或治理•手动流程•对第三方财务或合规性的看法有限或没有3