安全是有分量的

网站安全防护_ddos盾眼_解决方案

2021-08-23 22:11栏目:网络

网站安全防护_ddos盾眼_解决方案

您的第三方管理足迹呈爆炸式增长,"业务弹性"一词在Zoom会议上回响……但您的供应商尽职调查流程仍在进行中。放心吧,你并不孤单。在这篇文章中,我们将介绍三种方法,让您走上正轨。

什么是供应商尽职调查?

在与新供应商、供应商或其他第三方合作之前,您需要在入职前进行尽职调查。尽职调查过程不仅应评估供应商的财务和运营稳定性,还应评估他们可能给您的组织带来的任何潜在风险。

第三方供应商带来了许多风险,包括信息网络安全问题、运营风险、供应链中断和合规问题。有一个全面的供应商尽职调查流程,能够根据风险选择供应商,可以显著加快供应商的入职速度,同时降低重大中断或数据泄露的可能性。

尽职调查流程通常包括合同审查、供应商完成的评估、,以及收集目标公司及其分包商的外部情报。所有这些最终都要与贵公司的风险承受能力水平进行权衡。

为什么供应商尽职调查要求不断扩大

最近,采购、风险管理和安全团队的供应商尽职调查待办事项列表越来越长。鉴于新冠病毒对第三方运营的影响——再加上其他健康、环境和地缘政治挑战——许多组织正在扩大其供应商尽职调查工作,而不仅仅是简单的IT安全评估。这包括收集与制造、业务连续性、运输、非IT产品和构成当今复杂供应链的其他领域相关的信息。

信息安全和数据隐私合规要求也促使组织对潜在供应商进行额外的尽职调查。GDPR、HIPAA和CCPA等法规要求组织确保PHI和PII得到充分保护,且不被滥用。在这种环境下,数据泄露可能会造成灾难性后果,特别是在财务信息或受保护的公司信息受到泄露的情况下。建立有效的供应商尽职调查计划有助于减少您组织的网络风险,同时加强您的业务关系。

供应商尽职调查的三种方法

无论您是首次正式制定供应商尽职调查计划,还是需要改进现有计划,退后一步,考虑一下你的总体战略是很重要的。目前,我们的客户通常采取以下一种或多种尽职调查方法:内部、共享或外包。

1.内部供应商尽职调查:DIY方法

许多公司寻求内部管理供应商数据收集和分析。然而,即使您的组织拥有充足的人员和资金,如果您使用不同的手动工具(如电子表格)来管理流程,DIY尽职调查也可能成为一种负担。引入一个自动化的第三方风险管理平台可以有所帮助。以下是您需要寻找的一些功能:

内部方法成功的一个关键是,您必须使供应商回复评估问卷时尽可能简单、轻松。解决方案还应包括一个面向供应商的门户,用于查看调查完成状态、威胁情报报告和建议的补救措施。它还应该为未来的评估验证保留完整的审计跟踪。

最后,您需要确保解决方案能够根据评估属性、风险分数和建议自动触发工作流任务。例如,触发器可以启动与供应商分析和分层、评估响应之间的风险关联以及评估和监控情报的正常化相关的活动。这将使您更容易专注于风险管理,减少对内容收集的担忧。

2.共享尽职调查:网络方法

随着尽职调查要求扩展到供应链供应商和外包供应链管理提供商,供应商管理流程可能会对资源不足的团队造成负担。根据我的经验,一名评估员可以同时处理150-200次评估,以防它们过载。当董事会要求提供供应链风险数据以作为决策依据,而您有15000家供应商需要评估时,会发生什么情况?

与供应商沟通和收集风险数据通常占尽职调查过程的最大份额。如果你所拥有的只是电子表格和去耦合的评估和监控数据,那么你就要面临一个筋疲力尽的局面了!使这一问题更加复杂的是不断变化的监管格局,这需要专业知识来解释合规报告义务。

当资源有限的团队需要扩展其计划时,供应商风险情报网络可以提供帮助。在这种方法中,网络成员和供应商汇集他们的资源并共享完整的风险内容,以简化风险分析和缓解。他们提供按需访问现成的风险分数和行业标准问卷支持的内容。它们非常适合于需要基准数据的中小企业或需要快速分层供应商并确定需要更深入评估的供应商的大型组织。

通用提供以下供应商风险情报网络:

我们的客户通常会在我们的网络中找到约40%的供应商。他们还报告说,使用流行的供应商风险网络与使用手动工具自行进行评估相比,平均节省了44%的时间和成本。

3.外包尽职调查:托管服务方法