管理第三方生命周期的八个步骤

编者按: 以下是OneTrust赞助的博客文章.

管理第三方不仅仅是一次评估. 这种关系必须在整个第三方管理(TPM)生命周期中进行管理, 从筛选, 新员工培训, 评估, 风险缓解, 监控, 和offboarding.

在整个生命周期中，有一些自动化领域可以帮助您的组织简化工作流程并扩展其TPM计划, 节省时间, 资源, 降低风险.   

为什么TPM生命周期很重要? 
由于安全和风险管理团队在过去的一年里一直在适应快速的数字化转型, 大规模的, 成功的网络攻击, TPM已经成为澳门赌场官方下载关注的焦点. 安全团队正受到董事会层面的压力，要求他们实施管理计划, 导致他们评估TPM生命周期的所有方面. 

当你仔细观察时, 第三方和第三方风险评估在维护整个组织的强大安全态势方面所扮演的角色的重要性被放大了. 尽管供应商生态系统对于降低整个澳门赌场官方下载的风险至关重要, 许多组织没有适当地评估他们的第三方(在某些情况下), 一点也不).  

结果是, 安全团队——除非他们拥有TPM——对其组织的第三方生态系统几乎没有可视性, 如何使用它们, 以及这些第三方采取了哪些措施来保护他们的数据. 这导致了网络安全风险的增加, 隐私, 道德与合规, 和环境, social, 和治理(ESG)问题. So, 当组织转向围绕全面理解生命周期构建的TPM计划时，应该从哪里开始?

TPM程序和生命周期 
组织必须清楚地了解他们的供应商生态系统, 首先要对TPM生命周期有很强的工作知识. 

TPM生命周期是一系列步骤，概述了与第三方的典型关系. TPRM有时被称为“第三方关系管理”.“这个词更好地表达了第三方参与的持续性质. 通常， TPM生命周期分为几个阶段. 这些阶段包括:  

• 第三方鉴定和筛选 
• 评价 & 选择  
• 风险评估 
• 风险缓解 
• 承包及采购 
• 报告和记录保存 
• 持续的监控 
• 第三方下线 

阶段1:第三方识别和筛选 
有许多方法可以识别组织当前正在合作的第三方, 以及识别组织想要使用的新第三方的方法. 识别已经在使用的第三方，并建立第三方库存, 组织采用多种方法, 其中包括:  

• 利用现有信息 
• 与现有技术集成
• 进行评估或面谈
• 利用外部风险评级数据 

在这一点上，许多组织会根据制裁名单和其他来源筛选第三方，以确定是否存在任何道德或合规性问题，这些问题会使这种关系过于冒险而无法开始. 

• 使用这些信息, 您可以识别供应商可能给您的组织带来的独特风险，并将适当的评估和/或监控方法与关系的固有风险更好地结合起来. 并非所有第三方都同等重要, 这就是为什么确定哪个第三方最重要的原因. 要提高TPM计划的效率，请将第三方划分为关键级别. 

阶段2:评估和选择  
在评估和选择阶段, 组织考虑rfp并选择他们想要使用的第三方. 这一决策是根据业务及其特定需求所特有的许多因素做出的.   

阶段3:风险评估 
第三方风险评估需要时间和资源密集型, 这就是为什么许多组织使用第三方风险交换来访问预完成的评估. 其他人则专注于在生命周期的这一部分中自动化曾经的手动任务. 无论哪种方式，了解与第三方相关的风险的主要目标是相同的. 这些评估利用自动风险标记来识别基于第三方响应的问题. 

在考虑TPM程序时, 许多组织立即考虑到网络风险, 但是TPM需要更多的东西.

阶段4:风险缓解  
在进行控制评估之后，可以计算风险并开始降低风险. 常见的风险缓解工作流程包括以下阶段:  

1. 风险标记和分数指定 
2. 根据组织的风险偏好评估风险  
3. 在你们期望的剩余风险水平范围内进行处理和控制验证 
4. 持续监测增加的风险水平(如.g.、数据泄露)  

当第三方风险被标记时, 自动 分配一个风险所有者 来监督补救行动. 然后， 提供补救建议 根据规定完成委派的任务, 标准和框架嵌入到TPM生命周期中. 

第五阶段: 承包和采购   
有时与风险缓解同时进行, 从第三方管理的角度来看，合同和采购阶段至关重要. 契约通常包含不属于TPM领域的细节. 仍然, 有一些关键条款, TPM团队在审查第三方合同时应注意的条款和条款.

阶段6:报告和记录保存  
建立一个强大的TPM计划需要组织保持遵从性. 在电子表格中保存详细的记录在规模上几乎是不可能的, 这就是为什么许多组织实施TPM软件的原因. 有可审核的记录保存到位, 报告程序的关键方面以确定需要改进的地方变得容易得多.

TPM程序可以自动安排报告，以快速生成并与关键涉众共享关键详细信息. 另外，使用度量作为自动化触发器. 例如, 当新的高风险出现时, 自动向适当的涉众发送通知. 

阶段7:持续监测  
An 评估 is a “moment-in-time” look into a third party’s risks; however, 与第三方的合作不会就此结束，甚至在风险缓解之后也不会结束. 在第三方关系的整个生命周期中持续监控是至关重要的, 就像在新问题出现时适应一样. 越来越多的风险数据提供商可以极大地增强对风险最高的第三方的实时监控.

另外, 使用契约或安全证书过期作为自动化触发器, 例如第三方安全认证过期, 自动触发操作(创建新风险), 发送重新评估, 或者通知涉众). 对于 发现的第三方违规和制裁也是如此. 

阶段8:第三方离职  
彻底的离职程序至关重要, 出于安全目的和记录保存要求. 许多组织已经为第三方开发了离职清单, 其中可以包括内部和外部发送的评估，以确认采取了所有适当的措施. 至关重要的, 太, 是否有能力保存这些活动的详细证据线索，以证明在监管调查或审计的情况下符合要求. 

那些有能力利用数据的人, 自动化手动任务和设置风险偏好将在未来两到三年内比同行更具优势, 快速实现基于风险的业务决策.

更多关于OneTrust 
OneTrust第三方管理解决方案通过减少跨信任域的盲点，使您更容易自信地与第三方合作, 在引入新的第三方时，可以节省更多的时间, 通过持续监控增强业务弹性, 并将数据驱动的决策嵌入到第三方生命周期中. 

了解有关OneTrust第三方管理解决方案的更多信息，以及它如何通过以下方式帮助您的澳门赌场官方下载建立信任 请求演示.