本文列舉了第三方網(wǎng)絡風險管理的“七宗罪”，正是這些行為給企業(yè)帶來了巨大的風險。

***宗罪：認為風險可以被外包

很多企業(yè)認為，使用第三方產(chǎn)品或服務產(chǎn)生的網(wǎng)絡風險，應該由供應商來進行管理及承擔，這是絕對錯誤的。監(jiān)管機構一直明確表示，你可以外包系統(tǒng)和服務，但你不能外包風險。2008年，聯(lián)邦存款保險公司對供應商風險管理做了如下規(guī)定：一個機構的董事會和高級領導層應負責管理通過第三方進行的活動，并識別和控制由此帶來的風險。美國衛(wèi)生與公眾服務部、歐盟、美國貨幣監(jiān)理署等監(jiān)管機構也發(fā)布過類似的指南。

即使您與供應商的合約中有關于數(shù)據(jù)違約相關的條款，或許在安全事件發(fā)生后，可能獲得一定的賠償，但財務并不是唯一的風險。監(jiān)管機構的罰款、企業(yè)聲譽的損失、市值的蒸發(fā)，更加可怕。

第二宗罪：與第三方的合約中沒有必要的安全條款

與第三方合約中的信息安全條款，建議至少包括：

• 對第三方進行審計的權利;
• 數(shù)據(jù)泄露通知;
• 解決已識別漏洞的補救要求。

若是企業(yè)在解決第三方風險問題時沒有審計權，即無法有效的實現(xiàn)風險的評估。如果沒有補救要求，識別出的風險也可能無法得到解決。

在與第三方簽訂的服務協(xié)議中使用經(jīng)法律批準的、標準化的信息安全附錄，確保公司對需要采取糾正措施以保護其客戶、資產(chǎn)和聲譽具有可見性和追索權。即使您企業(yè)目前仍沒有積極地管理供應商風險，也需要將您想要的風險需求放入合同中。這樣做實際上將使供應商承擔一些***的安全性需求，并為將來評估他們的安全性提供機會。

第三宗罪：認為第三方風險管理與業(yè)務無關

業(yè)務運行在由內(nèi)部人員和第三方管理的復雜系統(tǒng)之上，對第三方網(wǎng)絡風險的管理即對業(yè)務風險的管理，這也是我們的初衷。而在實現(xiàn)風險管理的過程中，技術同業(yè)務的協(xié)作必不可少：

• 根據(jù)企業(yè)的信息安全標準建立供應商績效考核;
• 了解每個供應商關系的業(yè)務負責人;
• 定期向每個業(yè)務負責人報告供應商的風險表現(xiàn)，并要求每個供應商對滿足績效有足夠的響應。

實現(xiàn)良好的第三方風險結果還需要業(yè)務支持“升級路徑”，通過該路徑，我們可以清晰的看到哪些供應商具備什么樣的問題，在該路徑中，表現(xiàn)不佳的供應商被放在“觀察列表”上，若是沒有及時的解決問題，最終將被放在“禁止”列表上，以激勵供應商做好風險管理。

第四宗罪：不知道您的供應商是誰

在進行供應商網(wǎng)絡風險管理時，您只能管理已知供應商的風險。您掌握的供應商名單越長，管理覆蓋到的供應商就越多，風險也越小。

對于新的供應商風險管理項目，建議分階段覆蓋到供應商，可以從近期剛開始合作的供應商開始，而不是試圖一次納入所有供應商，現(xiàn)有供應商可以通過合約更新的方式逐步覆蓋。這樣更利于風險管理項目的展開，新供應商最有動力遵從您的風險管理流程，因為他們希望贏得您的業(yè)務。

可能需要幾年的時間，通過管理新供應商和現(xiàn)有供應商的合同更新，您將覆蓋絕大多數(shù)供應商。接下來的挑戰(zhàn)是找出那些“藏匿”起來的供應商。您可以通過企業(yè)內(nèi)的配合搜尋供應商：比如每月對應付賬款數(shù)據(jù)與供應商風險管理數(shù)據(jù)進行核對，任何未在風險管理數(shù)據(jù)庫中出現(xiàn)的供應商都會被識別。

第五宗罪：信任，不去驗證

“信任，但要驗證”的原則在管理第三方網(wǎng)絡風險時非常的適用。

在過去，供應商通常以高分通過基于問卷的評估。您可以去查看現(xiàn)有的供應商調查問卷，似乎所有的正面問題都會被肯定、似乎所有安全控制都正確的執(zhí)行。我們能否通過這些積極的證明得出目前風險很小、可控的結論?

良好的風險管理需要準確、全面地識別風險。供應商的安全性認證可以幫助您了解他們?yōu)閷崿F(xiàn)良好的風險結果所做的投資，但這只是所需信息的一半。

第六宗罪：不評估第三方風險管理項目進行后的效果

根據(jù)2017年對企業(yè)第三方風險管理實踐的研究，僅有37%的企業(yè)會在執(zhí)行第三方風險管理的某些措施后，會進行效果評估。這一點很讓人驚訝，這就像一個盈利企業(yè)不向投資者報告其財務業(yè)績。長此以往，第三方風險管理的價值無法顯現(xiàn)，第三方風險管理就會變成監(jiān)管機構需要的一個復選框，僅是在做表面文章。

目前企業(yè)的第三方風險管理報告中，通常包括:

• 某供應商評估固有風險的評分
• 供應商的分類評級(基于固有風險，類似“滿意”、“有待提高”、“無法接受”)
• 敏感數(shù)據(jù)風險、交易風險、聲譽風險、經(jīng)營風險等維度固有風險的種類和評分
• 按程序規(guī)范進行過評審的供應商百分比
• 供應商對風險評估的響應時間
• 供應商剩余風險的分布
• 對于無法承受其風險的供應商名單

但缺少了最重要的管理效果評估，適當?shù)亩攘繕藴士梢约訌娖髽I(yè)管理第三方風險的文化，這種文化對第三方的影響能給業(yè)務更好的支持，同時它們還能夠提升供應商響應的積極性、提升風險管理效果，在某些情況下為企業(yè)接受某些風險做了充足的準備。

第七宗罪：將供應商風險管理限制為定期評估

通過定期評估管理供應商網(wǎng)絡風險是不夠的。即使每年進行一到兩次評估，評估之間也會發(fā)生很多事情。例如供應商數(shù)據(jù)泄露可能會在不知情的情況下危及您的數(shù)據(jù)，可能會因為延遲數(shù)據(jù)外泄通知而招致監(jiān)管機構的處罰(GDPR關于數(shù)據(jù)外泄通告的要求：組織在發(fā)生數(shù)據(jù)外泄時必須在72小時內(nèi)，即刻通報給監(jiān)管機構。并且，若外泄會給個人帶來風險，也應該及時通知當事人)。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文