供应商管理包括管理向组织交付服务和产品的第三方供应商所需的所有过程. 澳门赌场官方下载和供应商都需要付出巨大的努力,以最大限度地从服务和/或产品中获得好处,同时降低相关风险.
记住不断增长的规模, 服务的范围和这些供应商服务的复杂性, 相关的风险和有效的供应商管理的重要性也相应增加. 例如, 在GDPR, 如果数据处理程序不遵循某些组织遵从性要求,就会发生数据泄露, 该组织将面临支付巨额罚款的风险.
第三方似乎是澳门赌场官方下载安全策略中最薄弱的环节之一. 每一天, 数据泄露等网络相关事件时有发生, 导致可能对澳门赌场官方下载产生重大影响的严重事件. 结果是, 组织已经将越来越多的资源投入到供应商风险管理中, 但这主要是一个手工过程. 尽管降低供应商风险对每个组织都至关重要, 大多数澳门赌场官方下载仍然对他们的供应商几乎一无所知.
在与数十个使用第三方服务的组织的代表交谈时, 我注意到,他们一开始往往低估了这个话题的重要性. 只有在我们讨论了与第三方执行的任务和提供的服务相关的关键问题之后,才会这样做, 以及它们的含义, 我的对话者开始注意到手头问题的真正重要性. 通常最重要的问题是: 我们如何开始这个过程? 最初的步骤是什么?
以下是我推荐的建议,可以支持您在供应商风险管理过程中的初始活动:
编制所有供应商的清单
一般, 主要障碍是对供应商的了解有限, 尤其是那些提供货币价值较低的商品或服务的小公司. 然而, 我的观点是,一个组织应该对它所有的商业伙伴有全面的了解, 在他们运作的所有领域. 此外,这些信息应该保存在一个单一的数据库中. 在这一点上,我想指出大型组织面临的一个共同挑战. 一些供应商极有可能被“影子”约定所管理, 不在官方数据库中. 了解这些知识对于确保风险得到解决非常重要. “影子”供应商管理计划可能会极大地限制关于供应商真相的单一版本,并可能产生难以缓解的严重风险. 避免(或至少减少)这类问题, 组织必须在高级管理层的大力支持下,关注正式的供应商管理过程.
创建一个你认为与你的组织相关的服务列表
当供应商综合名单准备好后, 建议创建它们提供的服务列表. 这个列表应该包括你的组织从外部承包商获得支持的整个领域. 每项服务都应该附有一个指标,说明其对您的运营的重要性(建议使用有限的数字刻度或一组质量描述符)。. 对所有服务的业务重要性进行评级将使您能够更精确地确定每个供应商的风险概况. 了解谁为您的组织执行服务是限制潜在数据泄漏风险的重要一步.
编者按: Anisimowicz将在2019年GRC大会上就这一主题发表进一步的见解, 将于8月12日至14日在fort. 劳德代尔,佛罗里达州,美国.
