第三方风险管理报告

SFA CYBER 风险子委员会的倡议 ， CYBER SIERRA 的 LED 赛博塞拉，由普拉莫德·rai和苏巴贾吉特·曼达尔于2021年创立，源自一个愿景，即使企业安全合规变得更加容易。专为中大型组织设计，赛博塞拉的技术实现了网络安全合规、治理和风险管理的数字化与自动化。 我们的智能平台推动了第三方风险管理（TPRM）、持续控制监控（CCM）和治理、风险与合规（GRC）等应用场景的发展。 被《财富》500强公司和全球银行信赖，Cyber Sierra也在Gartner的2024年 cybersecurity风险管理系统 hype cycle中被认定为代表性供应商，涵盖两个类别：cyber GRC和CCM。 新加坡金融科技协会（SFA）是一个非营利组织，旨在团结金融科技行业各利益相关者，推动创新、合作和监管支持。作为跨行业合作的平台，SFA通过举办活动、会员计划和知识分享促进交流。通过培养一个稳健的生态系统，SFA加强了新加坡作为全球金融科技中心的地位。 执行摘要 第三方风险管理报告 SFA 网络风险小组委员会的一项倡议 ， 由 Cyber Sierra 领导 近期SolarWinds、Target和Volkswagen等公司发生的高调事件凸显了一个关键现实：第三方风险管理（TPRM）不仅不再是合规要求，而是企业生存和成功的战略必要条件。 该行业对传统工具的依赖——详细的安防问卷调查和认证——虽然基础性很强，但已不再足够。这些静态评估无法捕捉到安全态势的动态特性，因此持续的、实时的监控不仅具有优势，而且变得至关重要，以防止威胁升级为代价高昂的事件。 尽管大多数组织承认在供应商依赖的环境中固有的脆弱性，关键的问题仍然在于：在这一迅速演变的威胁环境中，什么是真正意义上的充分风险管理？ 本报告通过多个镜头检查了不断发展的 TPRM 景观 ： 当前第三方风险管理的状态与新兴挑战复杂的监管框架塑造第三方风险管理要求技术解决方案与人力专长的交集，鉴于网络安全人才缺口从周期性评估向持续的安全态势监控的必要转变，成为供应商风险管理的新范式 它还提供一个全面的三管齐下的策略，涵盖供应商选择标准、风险管理解决方案以及战略投资考虑。 在现代TPRM（第三方风险管理）领域取得成功需要双管齐下：投资先进的持续监控解决方案的同时，通过强大的职业发展计划培养安全人才。只有采取这种平衡的方法，组织才能在日益复杂的企业环境中构建真正 resilient 的第三方关系。 TABLE OF CONTENTS CHAPTER 1 全球商业格局 ： 新机遇与新风险 第三方风险管理是什么？为什么第三方风险管理对现代企业至关重要？第三方风险管理的多方面价值：成本、风险和战略收益 CHAPTER 2 导航第三方风险管理法规的全球迷宫TPRM 法规的区域差异 CHAPTER 3 供应商选择标准 ： 稳健的 TPRM 的基石 实施全面的供应商评估流程金融稳定性 网络安全措施合规历史 运营韧性 数据保护实践 可视化风险 ： 如何创建有效的供应商风险矩阵 全面的供应商评估清单 ： 保护您的第三方关系 TABLE OF CONTENTS CHAPTER 4 有效的第三方风险管理解决方案 风险评估工具 持续控制监控系统 合作平台 自动化尽职调查流程 从愿景到现实 ： 解决 TPRM 采用障碍 CHAPTER 5 利用现代 TPRM 解决方案弥合网络安全技能差距 网络安全技能差距及其对 TPRM 的影响 现实世界的影响是什么 ？ 如何选择合适的第三方风险管理解决方案 ？ 识别业务需求 必备功能集 全面的供应商目录选择与上线 风险管理与整改 持续的供应商监控 TABLE OF CONTENTS 选择正确的 TPRM 工具适应性互操作性值 55 63 展望未来的关键战略要务 65 第一章 全球商业格局 ： 新机遇与新风险 现代企业是全球性的企业，不受地理边界或语言障碍的限制。数字技术的迅猛发展、全球物流的改进以及国际市场的日益融合为增长和扩张带来了前所未有的机遇。 公司现在可以访问全球各地多样化的人才库、新的消费者市场，并在不同地区获得成本效益，从而使他们能够依靠外部实体网络来支持其运营的各个方面。 因此，大多数企业通过包括供应商、分销商、合作伙伴和服务提供商在内的国际网络来扩展其业务。 这一全球影响力为以下方面提供了巨大的潜力 ： 快速可扩展性 增强全球市场竞争力 然而，不受约束的增长环境也引入了一套复杂的挑战。企业需要应对多样的监管环境，管理跨文化的沟通和商业实践，在供应链中确保一致的质量和道德标准，减轻地缘政治风险，并且最重要的是，在全球分布的网络中应对网络安全威胁。 随着企业全球扩张，有效管理第三方复杂性的重要性愈发凸显。强大的第三方风险管理体系、坚实的公司治理以及跨境坚持道德实践如今比以往任何时候都更为关键。 成功不再仅仅关于抓住全球机遇，还需要负责任地管理相关的风险和挑战。只有能够在两者之间找到平衡的公司，才能在现代无边界的企业环境中蓬勃发展。 什么是现代企业的第三方风险管理 ？ 第三方风险管理（TPRM）是一种关键的企业流程，专注于管理组织外部关系相关的风险。 现代企业是全球性的企业，很少独立运营。相反，它们依赖于一个外部实体网络来支持其各项运营活动。这些外部实体统称为“第三方”。 让我们分解一下提到的第三方的类型 ： 每种关系都可能给您的组织带来各种风险。例如，供应商可能会采用不道德的劳工 Practices，供应商可能会有糟糕的网络安全措施，或是分销商可能会参与腐败行为。如果这些风险未得到妥善管理，可能会导致财务损失、声誉损害、法律问题或运营中断。 这就是 TPRM 的用武之地。这是管理这些风险的系统方法 ， 涉及四个关键步骤 ： 1. 识别潜在风险 ：这涉及彻底审查每项第三方关系以了解可能出现的问题。例如，您可能会识别出与云服务提供商的数据安全风险或与在不同国家运营的分销商相关的合规风险。 2. 评估这些风险的可能性和潜在影响 ：一旦风险被识别，您需要评估它们发生的可能性以及如果发生会带来多严重的后果。这有助于确定哪些风险需要优先关注。 3. 实施战略以减轻或管理这些风险 ：基于风险评估，您随后制定并实施减少或控制风险的策略。这可能包括要求供应商获得特定的安全认证、在合同中包含特定条款或为第三方提供培训。 4. 持续监控第三方关系 ：风险管理工作不仅仅是一次性活动。它需要持续的高度警觉。这一步骤包括定期检查第三方是否遵守您的要求，以及风险环境是否发生变化。可能包括定期审计、实时监控某些指标或定期审查关系等活动。 通过遵循这一过程，组织可以主动管理其第三方关系相关的风险，从而在避免潜在负面影响的同时仍能从中受益于这些必不可少的商业合作伙伴关系。 为什么第三方风险管理对现代企业至关重要 ？ 大众汽车、 SolarWinds 和 Target 有什么共同点 ？ 乍一看似乎没有什么特别之处。它们分别运营在截然不同的行业——汽车制造、IT管理软件和零售业。但深入探究过去十年的重大企业丑闻，你会发现将它们联系在一起的线索： 由于第三方关系的问题 ， 他们都面临严重的声誉损失和财务损失。 大众排放门事件涉及第三方供应商提供的软件。SolarWinds的重大网络安全 breaches 影响了数千名其客户的通过受 comprommised 软件更新。 Target 臭名昭著的数据泄露是通过 HVAC 供应商访问其网络而发生的。 这些高调案例凸显出现代商业的一个关键现实：第三方风险管理（TPRM）不仅不再是合规性的一项复选框——它已成为一项战略 imperative。 以下是 TPRM 在当今商业环境中不可或缺的原因 ： 扩大第三方生态系统 ：公司越来越依赖复杂供应商、供应商和合作伙伴网络以实现高效运营。这一扩展放大了潜在风险。 数据隐私法规 ：随着GDPR和CCPA等相关法律法规的实施，组织不仅要对其自身的数据实践负责，还需对第三方的数据实践负责。 正如 SolarWinds 案所示 ， 网络犯罪分子通常通过安全性较低的供应商或供应商瞄准公司。 声誉风险 ：在社交媒体时代，第三方的不道德行为可以迅速成为你的公共关系噩梦，许多时尚品牌通过供应链争议学到了这一点。 侧边栏 98% 暴露的组织 ：第三方违约的威胁与日俱增 操作弹性:新冠肺炎疫情和近期的地缘政治事件凸显了理解并管理全球供应链风险的重要性。 安全评分卡（Security Scorecard）最近的一份报告显示，信任的第三方的利用继续成为普遍的安全关注问题。 调查结果显示98%的组织与经历过违规行为的第三方有联系。 财务影响 ：第三方事件的代价可能是巨大的。例如，塔吉特的数据泄露事件使该公司在和解费用上支出了1.85亿美元，此外还造成了股价下跌和客户信任度下降的损失。 这些第三方事件负责29%所有数据泄露。 监管审查:各行各业的监管机构 increasingly 要求公司对其第三方合作伙伴的行为负责，使尽职调查不再成为可选事项。 医疗保健行业在第三方违规事件中处于领先地位 ， 金融行业紧随其后。 这就是为什么第三方风险管理在今天是不可协商的 在一个相互关联的全球经济中 ， 贵公司的风险敞口远远超出了您自己的运营。 它涵盖了您开展业务的每一个实体，从托管您数据的云服务提供商到清洁您办公场所的保洁服务。 因此，有效的供应商风险管理不仅是为了避免灾难，更是为了构建韧性、确保合规，并与客户和合作伙伴培养信任。 在一个单一第三方失败可能导致你不希望出现头条新闻的世界中，稳健的供应商风险管理可能恰恰是你最重要的商业策略。 第二章 导航第三方风险管理法规的全球迷宫 想象一下 ， 你在玩一场高风险的监管象棋游戏。棋盘 ？ 整个世界。碎片 ？ 你公司的第三方关系。规则 ？ 它们根据你在哪个广场而改变。 从欧洲联盟严格的数据保护法律到美国的反腐败重点，再到亚洲新兴的指导原则， navigating the global regulatory landscape 确实一点也不 straightforward。 以 ， 例如 ， 对比的方法香港and新加坡: 在香港，香港货币管理局（HKMA）发布了专门针对银行业第三方风险管理的指导方针。 他们的监督政策手册中关于“外包”的SA-2部分提供了详细的风险评估、尽职调查和第三方关系持续监控的期望。 与此同时，在新加坡仅咫尺之遥的地方，新加坡金融管理局（MAS）采取了更为全面的方法。他们的外包指南是新加坡在金融领域实施第三方风险管理（TPRM）的核心组成部分。 它们要求金融机构 ： 建立稳健的外包安排管理框架进行详尽的服务提供商尽职调查确保外包安排不会妨碍机构的风险管理和合规能力保护客户信息的机密性和安全实施强大的外包服务业务连续性管理 The MAS外包指南尤为值得注意，因为它们涵盖了广泛的服务范围，包括云计算。 当你将视角扩展到其他地理区域时，复杂性会成指数级增加，这为全球企业创造了一个具有挑战性的环境。在一个司法管辖区合规的做法在另一个司法管辖区可能就不够了。在一个监管框架下看似风险较小的第三方关系，在另一个监管框架下可能成为主要的负债。 当我们深入探讨塑造TPRMlandscape的关键法规时，请记住：在这个全球性的监管象棋游戏中，了解棋盘上每个方格的规则不仅是一种良好的实践——它是继续参与游戏的必要条件。 TPRM 法规的区域差异 以下是全球一些关键的 TPRM 法规 ： 1. 北美 ： 联邦和州法律 健康保险便携性和责任法案（HIPAA）要求医疗保健组织确保第三方服务提供商通过遵守严格的网络安全实践来保护患者数据。加利福尼亚消费者隐私法案（CCPA）要求公司确保 处理个人数据的第三方保持适当的网络安全措施来保护这些数据。 联邦信息安全管理现代化法案（FISMA）