其他分享
首页 > 其他分享> > 什么是供应商风险管理(VRM),为什么我们需要它们?

什么是供应商风险管理(VRM),为什么我们需要它们?

作者:互联网

在这里插入图片描述
第三方服务对于每个组织都至关重要。几乎所有组织都使用它们来分配工作量。但是,如果第三方未采取适当的安全措施,该怎么办?你可以信任谁?好的,这就是供应商风险管理(VRM)助您一臂之力的地方。

供应商风险管理是识别,分析,评估和减轻风险的过程,以使组织免受任何类型的数据泄露或数据泄露的影响。

随着大数据分析,云计算和物联网的出现,企业越来越多地利用第三方供应商来实施这些技术。这样,企业就可以做自己擅长的事情,而将数据管理交由第三方掌握。

尽管依靠第三方和外包数据可能会非常有益,但是存在一个问题,即第三方是否可以很好地管理您的数据。如果供应商缺乏可靠的安全措施,则您的组织可能会面临声誉,运营,信息和交易妥协的风险。VRM计划并帮助减轻任何此类网络安全风险。

该博客将帮助您确定发现供应商风险的最佳方法以及减轻风险的方法。

什么是供应商风险管理?

供应商风险管理(VRM)是知识的一个分支,用于管理和监视由IT产品和服务的第三方供应商和供应商引起的任何问题。这是识别和缓解第三方数据和服务管理产生的风险的过程。VRM计划可帮助组织避免任何业务中断或潜在的第三方风险。

例如,您可以联系第三方会计师事务所来管理客户的数据。现在,您客户的信息已掌握在会计师事务所的手中,而数据的安全性则取决于该事务所的安全措施。数据中的任何妥协都可能导致其滑入黑客的手中。更糟糕的是,您的组织可能会遭受财务损失和负面声誉的打击。

2020年12月Microsoft供应商数据泄露就是这种情况的其中一个。它的供应商之一SolarWinds在俄罗斯黑客将组织定位为获取敏感信息的过程中遭受了安全事件。由于SolarWinds是Microsoft供应商,因此黑客可以访问某些Azure,Exchange和Intune源代码。如果像微软这样的科技巨头由于其供应商的安全措施不严而受到侵犯,那么对于小公司来说,情况就更糟了。

近年来,选择第三方供应商以提高生产率和利润的趋势已经越来越大。任何外部干预,例如会计师,律师,营销团队等,都会带来更大的风险。VRM有助于减轻这些风险并避免未来的损失。

什么是第三方供应商?

第三方供应商是您指定或代表客户签署书面协议以为您提供公司所需的服务和产品的组织或机构。以下是贵公司可能使用的第三方列表:

供应商和制造商:从IT服务到餐饮,您的公司可能会依赖其他许多小公司的产品和服务。
服务提供者:服务提供者包括市场营销和广告,税务和法律事务所,物流,清洁人员等。它们构成公司最重要的部分。
合同工:许多公司要求合同工行使职能。其中包括技术人员,编码人员,维护人员,经理等。尽管他们的工作时间可能很短,但他们在逗留期间仍可以访问敏感信息。
外部员工:像自由职业者和临时员工这样的外部员工会构成很大的风险。办公室数据的任何不当处理都可能导致敏感信息的丢失。

第三方风险的常见类型

战略风险
战略风险是指第三方做出的错误决定可能导致主体公司蒙受损失。由于供应商的决策效率低下,这可能会导致利润损失。失败的决定也可能与母公司的目标不符。

名誉风险
在当今世界中,这是一种非常常见的风险,在这种情况下,供应商的声誉可能会影响主体公司的声誉。公众经常会攻击后者与前者的联系。由于供应商的不良安全措施而导致的数据丢失可能会导致主体公司失去声誉。

操作风险
诸如自然灾害或数据泄露之类的中断可能会导致供应商工作的障碍,从而也拖慢了主要公司的发展速度。

信息安全风险
如果主体公司与其供应商共享敏感数据,则第三方供应商的数据泄露可能对其产生不利影响。黑客甚至可能通过第三方将母公司作为目标。

为什么我们需要供应商风险管理

找出潜在的问题,然后再解决。可以预先评估与供应商的数据泄露相关的风险和威胁。
管理供应商的正常运作,并与供应商保持迅速而忠诚的关系。
为了减轻与供应商之间的协议或数据丢失。
定期评估与供应商相关的风险。
通过与供应商建立统一的机构来优化性能并降低成本

需要首席信息安全官

选择VRM不仅是小时的需要,也是组织的必要条件,即使像Microsoft这样的巨头也无法信任其供应商,其数据也受到俄罗斯黑客的破坏。首席信息安全官(CISO)的工作是寻找授权的第三方供应商并与其保持忠诚和迅速的关系。

一个CISO是谁,确保其资产的战略,测量和规划管理公司的高级主管。他/她的职责包括安全运营以及评估网络风险,数据丢失和欺诈预防。他/她会评估一次突破中出了什么问题,并防止同一场危机再次发生。CISO确保检查所有安全风险并涵盖所有潜在威胁。需要对CISO进行适当的培训,以管理组织外部的第三方供应商。

CCISO涵盖了信息安全管理的五个重要领域:

治理与风险管理(GRC)
信息安全控制,合规性和审计管理
安全计划管理与运营
信息安全核心能力
战略规划,财务,采购和供应商管理

标签:风险,供应商,信息安全,风险管理,数据,第三方,VRM
来源: https://blog.csdn.net/wlcs_6305/article/details/115403023