五问五答：第三方风险管理

第三方风险管理 （Third Party Risk Management, TPRM） 是分析和最小化与外包给第三方供应商或服务提供商的相关风险的过程。比如包括财务、环境、声誉和安全风险。而存在这些风险的原因是供应商拥有权限访问企业的知识产权、敏感数据和个人身份信息 (PII)等。由于第三方关系对业务运营至关重要，因此第三方风险管理是网络安全策略的重要组成部分。

什么是第三方？

第三方是与企业合作的任何实体。包括供应商、制造商、服务提供商、业务合作伙伴、附属公司、分销商、经销商和代理商。这些第三方企业可以是上游（供应商和供应商）和下游（分销商和经销商）。

第三方和第四方有什么区别？

第三方是直接与企业开展业务的供应商、合作伙伴或其他实体，而第四方是企业的第三方所合作的供应商或服务提供商等。第四方（或“第 N 方”）反映了供应链中更深层次的关系，这些关系不一定与企业通过合同联系，而是通过第三方连接。

为什么第三方风险管理很重要？

第三方风险管理十分关键，因为使用第三方会直接或间接影响企业的网络安全。第三方增加了信息安全的复杂性，原因如下：

第三方通常不受企业的控制，无法完全了解他们的安全控制情况。一些供应商拥有强大的安全标准和良好的风险管理实践，但还有一些供应商的安全策略并不周密和完善。

每个第三方都是数据泄露或网络攻击的潜在攻击媒介。如果供应商具有易受攻击的攻击面，企业使用的此类供应商越多，攻击面就越大，可能面临的潜在漏洞就越多。

数据保护和数据泄露提示（Data breach notification）等相关法律的引入极大地提高了第三方风险管理计划的影响。如果由于第三方导致信息泄露，企业同样也要面临处罚和监管罚款。

第三方会带来哪些风险？

企业在与第三方合作时面临许多潜在风险：

• 网络安全风险：网络攻击、安全漏洞或其他安全事件导致的信息泄露或经济损失。因此企业需要通过在引入供应商之前的尽职调查过程，以及在整个供应商生命周期中的持续监控来降低风险。
• 运营风险：第三方可能造成业务运营中断的风险。这需要通过受合同约束的服务级别协议 (Service Level Agreements, SLAs) 以及业务连续性和事件响应计划来管理。根据供应商的重要性，企业可以多选择几家供应商以备用（这种做法在金融服务行业常见）。
• 法律、监管和合规风险：第三方可能产生法律、法规或协议的风险。这对于金融服务、医疗保健和政府组织及其业务合作伙伴尤为重要。
• 声誉风险：因第三方而产生负面舆论的风险。由于第三方所提供的服务所产生的不良评价会给企业形象和声誉带来负面影响。
• 战略风险：企业可能因第三方供应商而无法实现其业务目标。

第三方风险管理怎么展开？

为了更好地管理第三方风险，企业需要构建一个有效的第三方风险管理框架， 同时建立一个强大的第三方风险管理流程，为企业的风险管理提供保障和可靠反馈。

第 1 步：分析

在引入任何第三方之前，首先要确定其可能给企业带来的潜在风险以及所需的尽职调查。目前多数企业选择使用安全评级（security ratings）来确认第三方的外部安全状况是否满足企业要求。

第 2 步：进一步了解

如果供应商的安全评级足够，下一步就是让供应商提供（或完成）安全调查问卷，以深入了解他们的安全控制措施，当然这些信息对外部人员是不可见的。

第 3 步：修复

如果供应商存在安全风险，可能会导致这些供应商在解决相关安全问题之前就失去合作机会。这时如果企业拥有修复工具，可以先尝试修复相关问题再进行下一步评估。

第 4 步：批准

在修复问题之后，企业可以根据自身风险承受能力、供应商的重要性以及相关联的合规要求，来决定是否与供应商合作或是选择寻找其他供应商。

第 5 步：监控

持续监控供应商的安全性十分重要！因为引入的第三方拥有访问企业内部系统、敏感数据和业务流程的权限。这时，企业需要对第三方进行持续安全监控（Continuous Security Monitoring, CSM）。CSM 可以自动进行监控信息安全控制、漏洞和其他网络威胁，以支持企业风险管理决策。