某些行业比其他行业对其供应链有更好的概念理解. 例如, 在制造业, 很明显,原材料从一端进来,而从另一端出来的是成品, 供消费的加工产品. 这些产品可能会被运送到另一个制造商以集成到他们的产品中,或者被运送给消费者使用. 您可以将这些组织连接在一起,并构建显示完整供应链网络的地图. 事实上, 这通常是为了帮助规划者, 工程师, 管理人员也更好地了解了他们在这条链条中遇到的问题所带来的风险. 对于其他公司, 然而, 这种与所有供应商的联系更难以理解. 随着数字化转型使公司之间的工作无缝衔接,工作变得更加短暂.
在新的ISACA白皮书中, 管理第三方风险, 我想帮助组织更好地了解如何建立第三方或供应商风险管理程序,以更好地管理他们的网络风险态势. 当这些供应商风险技术和流程的基本构建块到位时, 它允许其他风险学科,如操作风险, 隐私风险, 国家风险, 等.以便更好地处理他们的损失风险.
白皮书涵盖了供应商流程执行顺序的主题, 首先是关于治理的讨论,以及澄清供应商角色是多么重要, 采购程序被锁定(不是任何人都应该能够购买服务), 数据共享协议得到巩固, 保护元数据的集合(为评估的下一部分提供信息).
这篇论文的主旨是如何评估一个特定的供应商给你的组织带来了多大的网络风险. 这包括对所有供应商进行分类并将其分类, 更危险的桶意味着更多的评估. 给那些需要它的人, 我将讨论一系列您应该请求的工件和您应该运行的测试.
最后,我将讨论如何处理这些评估数据. 我将讨论如何对供应商进行威胁建模,并将其纳入您的风险评估, 以及如何改进使用简单热图完成的供应商风险评估(例如使用网络风险量化来关注对组织的经济影响). 本文最后讨论了持续监控以及如何处理表现出不良控制姿态的供应商.
我希望本白皮书对您建立新的供应商风险管理程序或提高现有程序的成熟度有所帮助. 随着澳门赌场官方下载不断利用数字技术改变运营方式, 组织将不可避免地与越来越多的合作伙伴共享其数据(及其客户数据). 让我们确保解决方案到位,以帮助保护这些数据,并通过管理好供应商风险,在我们的数字经济中建立信任.
作者简介: 杰克·弗伦德博士.D., 中钢协, CRISC, CISM, 是导演, 风险专家的风险科学, 风险与信息系统控制认证(CRISC)认证工作组成员, 《澳门赌场官方下载》的合著者, 2016年入选网络安全佳能, IAPP信息隐私研究员, 以及2018年ISACA的John W. 雷恩哈特四世共同知识体系奖获得者.