企業(yè)網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)體系化工作，任何一處的短板都將影響其最終安全防護(hù)效果,。隨著數(shù)字化轉(zhuǎn)型的深入，很多企業(yè)已經(jīng)高度重視自身的網(wǎng)絡(luò)安全保障工作,，卻往往忽視了對第三方安全風(fēng)險(xiǎn)的有效管理,。

　　不管企業(yè)規(guī)模大小,，其在開展生產(chǎn)經(jīng)營活動的過程中，總是存在著和第三方機(jī)構(gòu)（人員）發(fā)生業(yè)務(wù)往來的交互過程,，這意味著每個(gè)企業(yè)都會面臨第三方風(fēng)險(xiǎn)威脅,，包括市場環(huán)境風(fēng)險(xiǎn)（Market environment risk）、信用責(zé)任風(fēng)險(xiǎn)（Credit responsibility risk）,、服務(wù)交付風(fēng)險(xiǎn)（Service delivery risk）,、安全控制風(fēng)險(xiǎn)（Security controls risk）等多個(gè)方面。而與之對應(yīng)的第三方風(fēng)險(xiǎn)管理（Third Party Risk Management,，簡稱TPRM）,，就是要了解并管理好第三方合作機(jī)構(gòu)可能給企業(yè)本身帶來的負(fù)面影響，并采取積極主動的措施,，應(yīng)對可能由此產(chǎn)生的風(fēng)險(xiǎn)損失,。

　    TPRM對金融機(jī)構(gòu)的價(jià)值

　　TPRM是一個(gè)持續(xù)的過程，用來評估,、監(jiān)控和管理來自與外部有關(guān)方合作帶來的風(fēng)險(xiǎn),。對于金融機(jī)構(gòu)而言,，TPRM對于降低運(yùn)營風(fēng)險(xiǎn),、防止?jié)撛诘呢?cái)務(wù)損失至關(guān)重要。對于金融機(jī)構(gòu)而言,，積極開展有效的第三方風(fēng)險(xiǎn)管理,，可以帶來以下好處：

　　01 確保第三方機(jī)構(gòu)與自身業(yè)務(wù)風(fēng)險(xiǎn)偏好保持一致

　　TPRM提供了一種系統(tǒng)性的方法來識別、評估和監(jiān)控與第三方合作帶來的風(fēng)險(xiǎn),。反過來,，它讓金融機(jī)構(gòu)可以做出明智的決定，確定與其他組織或企業(yè),，甚至行業(yè)外的組織或企業(yè)建立關(guān)系或繼續(xù)合作是否安全,。

　　此外，如果了解和管理與第三方合作帶來的風(fēng)險(xiǎn),，金融機(jī)構(gòu)可以更有把握地尋求機(jī)會,，同時(shí)仍堅(jiān)持整體風(fēng)險(xiǎn)偏好。

　　02 降低合規(guī)成本,，提高運(yùn)營效率

　　運(yùn)作良好的TPRM計(jì)劃有助于確保金融機(jī)構(gòu)遵守監(jiān)管要求,，幫助金融機(jī)構(gòu)降低由于業(yè)務(wù)違規(guī)導(dǎo)致的合規(guī)成本，比如罰款和處罰,。TPRM還可以通過統(tǒng)一風(fēng)險(xiǎn)識別和評估方法來幫助金融機(jī)構(gòu)提高業(yè)務(wù)運(yùn)營效率,。此外,，它有助于減少對手動風(fēng)險(xiǎn)處置流程和跨部門重復(fù)工作的需求。

　　03 增強(qiáng)安全風(fēng)險(xiǎn)應(yīng)對的能力

　　如果能夠清晰了解與第三方合作帶來的風(fēng)險(xiǎn),，金融機(jī)構(gòu)就可以制定和實(shí)施更有效的風(fēng)險(xiǎn)緩解策略,。TPRM有助于金融機(jī)構(gòu)及時(shí)識別出潛在的安全風(fēng)險(xiǎn)，并盡可能減少風(fēng)險(xiǎn)造成的影響和損失,。通過開展TPRM工作,，可以幫助金融機(jī)構(gòu)與第三方服務(wù)提供商建立更穩(wěn)固的合作關(guān)系。這種聯(lián)系有助于改善風(fēng)險(xiǎn)管理方面的溝通和協(xié)作,，從而進(jìn)一步改善風(fēng)險(xiǎn)緩解工作,。

　　04 維護(hù)商業(yè)聲譽(yù)，增強(qiáng)用戶信心

　　TPRM可以幫助金融機(jī)構(gòu)避免或降低與第三方合作帶來的商譽(yù)損失風(fēng)險(xiǎn),。此外,，通過有效地管理與第三方合作帶來的風(fēng)險(xiǎn)，金融機(jī)構(gòu)可以增強(qiáng)客戶的信心,，在市場上保持良好聲譽(yù),，保障金融業(yè)務(wù)的穩(wěn)定開展。

　　TPRM落地的5個(gè)關(guān)鍵階段

　　金融機(jī)構(gòu)在開展TPRM時(shí),，可以參照企業(yè)IT風(fēng)險(xiǎn)管理生命周期的理念,，將風(fēng)險(xiǎn)管理流程分為以下幾個(gè)關(guān)鍵階段：

　　01 風(fēng)險(xiǎn)評估

　　風(fēng)險(xiǎn)評估是開展TPRM的關(guān)鍵階段。風(fēng)險(xiǎn)審計(jì)師在這個(gè)階段需要嘗試識別和評估可能與使用第三方服務(wù)相關(guān)的任何風(fēng)險(xiǎn),。目的是查明哪些方面可能存在導(dǎo)致數(shù)據(jù)泄露或其他安全事件的漏洞,。為此，風(fēng)險(xiǎn)審計(jì)師將審查金融機(jī)構(gòu)與第三方服務(wù)提供商相關(guān)的政策和工作流程,。他們還將詢問關(guān)鍵業(yè)務(wù)人員,，對過去的一些工作內(nèi)容進(jìn)行審查。通過識別和評估與第三方服務(wù)提供商相關(guān)的風(fēng)險(xiǎn),，風(fēng)險(xiǎn)審計(jì)師可以幫助金融機(jī)構(gòu)采取措施,，降低這些風(fēng)險(xiǎn)，改善整體安全狀況,。

　　02 風(fēng)險(xiǎn)管理規(guī)劃

　　當(dāng)?shù)谌斤L(fēng)險(xiǎn)被充分識別后,，金融機(jī)構(gòu)可以進(jìn)入到第三方風(fēng)險(xiǎn)管理規(guī)劃階段。這時(shí)需要充分聽取各利益相關(guān)者的意見,，包括IT專業(yè)人員,、業(yè)務(wù)部門和外部審計(jì)機(jī)構(gòu)。這個(gè)過程可能很漫長,，長短取決于所審查系統(tǒng)的復(fù)雜性,。該階段涵蓋的一些關(guān)鍵方面包括如下：

　　確定TPRM計(jì)劃的目標(biāo)；

　　識別需要緩解哪些風(fēng)險(xiǎn)；

　　制定管理第三方風(fēng)險(xiǎn)的政策和程序,；

　　選擇和實(shí)施控制措施,，緩解已識別的安全風(fēng)險(xiǎn)。

　　03 效果測試

　　在風(fēng)險(xiǎn)管理計(jì)劃到位后,，風(fēng)險(xiǎn)審計(jì)師將進(jìn)行實(shí)施測試,，以確保落實(shí)到位的控制措施安全有效。這通常需要審查文件和詢問關(guān)鍵人員,。

　　效果測試工作還可能需要進(jìn)行某種形式的現(xiàn)場測試,，比如：

　　滲透測試：這種測試用于模擬真實(shí)世界的攻擊，從而評估系統(tǒng)和控制措施的安全性,。

　　漏洞掃描：這種測試使用自動化工具來識別系統(tǒng)中的潛在安全漏洞,。

　　安全評估：這種測試由安全專家團(tuán)隊(duì)進(jìn)行，他們手動測試系統(tǒng)查找漏洞,。

　　04 風(fēng)險(xiǎn)管理報(bào)告

　　TPRM在正式實(shí)施之前,，需要準(zhǔn)備一份詳細(xì)說明調(diào)查結(jié)果的報(bào)告，內(nèi)容包括TPRM計(jì)劃的概述以及改進(jìn)建議,。報(bào)告的目的是讓企業(yè)清楚地了解自身第三方風(fēng)險(xiǎn)的概況,，以及如何改善整體安全狀況的建議。

　　05 監(jiān)控和維護(hù)

　　TPRM的最后一個(gè)階段是監(jiān)控和維護(hù),。在這個(gè)階段將確保報(bào)告給出的建議得到實(shí)施,，TPRM計(jì)劃得到有效管理。這通常需要定期審查和評估,，以確保計(jì)劃仍然有效,，以及任何新風(fēng)險(xiǎn)已被識別和解決。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<