企業(yè)網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)體系化工作，任何一處的短板都將影響其最終安全防護(hù)效果。隨著數(shù)字化轉(zhuǎn)型的深入，很多企業(yè)已經(jīng)高度重視自身的網(wǎng)絡(luò)安全保障工作，卻往往忽視了對(duì)第三方安全風(fēng)險(xiǎn)的有效管理。

不管企業(yè)規(guī)模大小，其在開展生產(chǎn)經(jīng)營(yíng)活動(dòng)的過(guò)程中，總是存在著和第三方機(jī)構(gòu)（人員）發(fā)生業(yè)務(wù)往來(lái)的交互過(guò)程，這意味著每個(gè)企業(yè)都會(huì)面臨第三方風(fēng)險(xiǎn)威脅，包括市場(chǎng)環(huán)境風(fēng)險(xiǎn)（Market environment risk）、信用責(zé)任風(fēng)險(xiǎn)（Credit responsibility risk）、服務(wù)交付風(fēng)險(xiǎn)（Service delivery risk）、安全控制風(fēng)險(xiǎn)（Security controls risk）等多個(gè)方面。而與之對(duì)應(yīng)的第三方風(fēng)險(xiǎn)管理（Third Party Risk Management，簡(jiǎn)稱TPRM），就是要了解并管理好第三方合作機(jī)構(gòu)可能給企業(yè)本身帶來(lái)的負(fù)面影響，并采取積極主動(dòng)的措施，應(yīng)對(duì)可能由此產(chǎn)生的風(fēng)險(xiǎn)損失。

TPRM對(duì)金融機(jī)構(gòu)的價(jià)值

TPRM是一個(gè)持續(xù)的過(guò)程，用來(lái)評(píng)估、監(jiān)控和管理來(lái)自與外部有關(guān)方合作帶來(lái)的風(fēng)險(xiǎn)。對(duì)于金融機(jī)構(gòu)而言，TPRM對(duì)于降低運(yùn)營(yíng)風(fēng)險(xiǎn)、防止?jié)撛诘呢?cái)務(wù)損失至關(guān)重要。對(duì)于金融機(jī)構(gòu)而言，積極開展有效的第三方風(fēng)險(xiǎn)管理，可以帶來(lái)以下好處：

1. 確保第三方機(jī)構(gòu)與自身業(yè)務(wù)風(fēng)險(xiǎn)偏好保持一致

TPRM提供了一種系統(tǒng)性的方法來(lái)識(shí)別、評(píng)估和監(jiān)控與第三方合作帶來(lái)的風(fēng)險(xiǎn)。反過(guò)來(lái)，它讓金融機(jī)構(gòu)可以做出明智的決定，確定與其他組織或企業(yè)，甚至行業(yè)外的組織或企業(yè)建立關(guān)系或繼續(xù)合作是否安全。

此外，如果了解和管理與第三方合作帶來(lái)的風(fēng)險(xiǎn)，金融機(jī)構(gòu)可以更有把握地尋求機(jī)會(huì)，同時(shí)仍堅(jiān)持整體風(fēng)險(xiǎn)偏好。

2. 降低合規(guī)成本，提高運(yùn)營(yíng)效率

運(yùn)作良好的TPRM計(jì)劃有助于確保金融機(jī)構(gòu)遵守監(jiān)管要求，幫助金融機(jī)構(gòu)降低由于業(yè)務(wù)違規(guī)導(dǎo)致的合規(guī)成本，比如罰款和處罰。TPRM還可以通過(guò)統(tǒng)一風(fēng)險(xiǎn)識(shí)別和評(píng)估方法來(lái)幫助金融機(jī)構(gòu)提高業(yè)務(wù)運(yùn)營(yíng)效率。此外，它有助于減少對(duì)手動(dòng)風(fēng)險(xiǎn)處置流程和跨部門重復(fù)工作的需求。

3. 增強(qiáng)安全風(fēng)險(xiǎn)應(yīng)對(duì)的能力

如果能夠清晰了解與第三方合作帶來(lái)的風(fēng)險(xiǎn)，金融機(jī)構(gòu)就可以制定和實(shí)施更有效的風(fēng)險(xiǎn)緩解策略。TPRM有助于金融機(jī)構(gòu)及時(shí)識(shí)別出潛在的安全風(fēng)險(xiǎn)，并盡可能減少風(fēng)險(xiǎn)造成的影響和損失。通過(guò)開展TPRM工作，可以幫助金融機(jī)構(gòu)與第三方服務(wù)提供商建立更穩(wěn)固的合作關(guān)系。這種聯(lián)系有助于改善風(fēng)險(xiǎn)管理方面的溝通和協(xié)作，從而進(jìn)一步改善風(fēng)險(xiǎn)緩解工作。

4. 維護(hù)商業(yè)聲譽(yù)，增強(qiáng)用戶信心

TPRM可以幫助金融機(jī)構(gòu)避免或降低與第三方合作帶來(lái)的商譽(yù)損失風(fēng)險(xiǎn)。此外，通過(guò)有效地管理與第三方合作帶來(lái)的風(fēng)險(xiǎn)，金融機(jī)構(gòu)可以增強(qiáng)客戶的信心，在市場(chǎng)上保持良好聲譽(yù)，保障金融業(yè)務(wù)的穩(wěn)定開展。

TPRM落地的五個(gè)關(guān)鍵階段

金融機(jī)構(gòu)在開展TPRM時(shí)，可以參照企業(yè)IT風(fēng)險(xiǎn)管理生命周期的理念，將風(fēng)險(xiǎn)管理流程分為以下幾個(gè)關(guān)鍵階段：

1. 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是開展TPRM的關(guān)鍵階段。風(fēng)險(xiǎn)審計(jì)師在這個(gè)階段需要嘗試識(shí)別和評(píng)估可能與使用第三方服務(wù)相關(guān)的任何風(fēng)險(xiǎn)。目的是查明哪些方面可能存在導(dǎo)致數(shù)據(jù)泄露或其他安全事件的漏洞。為此，風(fēng)險(xiǎn)審計(jì)師將審查金融機(jī)構(gòu)與第三方服務(wù)提供商相關(guān)的政策和工作流程。他們還將詢問關(guān)鍵業(yè)務(wù)人員，對(duì)過(guò)去的一些工作內(nèi)容進(jìn)行審查。通過(guò)識(shí)別和評(píng)估與第三方服務(wù)提供商相關(guān)的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)審計(jì)師可以幫助金融機(jī)構(gòu)采取措施，降低這些風(fēng)險(xiǎn)，改善整體安全狀況。

2. 風(fēng)險(xiǎn)管理規(guī)劃

當(dāng)?shù)谌斤L(fēng)險(xiǎn)被充分識(shí)別后，金融機(jī)構(gòu)可以進(jìn)入到第三方風(fēng)險(xiǎn)管理規(guī)劃階段。這時(shí)需要充分聽取各利益相關(guān)者的意見，包括IT專業(yè)人員、業(yè)務(wù)部門和外部審計(jì)機(jī)構(gòu)。這個(gè)過(guò)程可能很漫長(zhǎng)，長(zhǎng)短取決于所審查系統(tǒng)的復(fù)雜性。該階段涵蓋的一些關(guān)鍵方面包括如下：

• 確定TPRM計(jì)劃的目標(biāo)；
• 識(shí)別需要緩解哪些風(fēng)險(xiǎn)；
• 制定管理第三方風(fēng)險(xiǎn)的政策和程序；
• 選擇和實(shí)施控制措施，緩解已識(shí)別的安全風(fēng)險(xiǎn)。

3. 效果測(cè)試

在風(fēng)險(xiǎn)管理計(jì)劃到位后，風(fēng)險(xiǎn)審計(jì)師將進(jìn)行實(shí)施測(cè)試，以確保落實(shí)到位的控制措施安全有效。這通常需要審查文件和詢問關(guān)鍵人員。

效果測(cè)試工作還可能需要進(jìn)行某種形式的現(xiàn)場(chǎng)測(cè)試，比如：

• 滲透測(cè)試：這種測(cè)試用于模擬真實(shí)世界的攻擊，從而評(píng)估系統(tǒng)和控制措施的安全性。
• 漏洞掃描：這種測(cè)試使用自動(dòng)化工具來(lái)識(shí)別系統(tǒng)中的潛在安全漏洞。
• 安全評(píng)估：這種測(cè)試由安全專家團(tuán)隊(duì)進(jìn)行，他們手動(dòng)測(cè)試系統(tǒng)查找漏洞。

4. 風(fēng)險(xiǎn)管理報(bào)告

TPRM在正式實(shí)施之前，需要準(zhǔn)備一份詳細(xì)說(shuō)明調(diào)查結(jié)果的報(bào)告，內(nèi)容包括TPRM計(jì)劃的概述以及改進(jìn)建議。報(bào)告的目的是讓企業(yè)清楚地了解自身第三方風(fēng)險(xiǎn)的概況，以及如何改善整體安全狀況的建議。

5. 監(jiān)控和維護(hù)

TPRM的最后一個(gè)階段是監(jiān)控和維護(hù)。在這個(gè)階段將確保報(bào)告給出的建議得到實(shí)施，TPRM計(jì)劃得到有效管理。這通常需要定期審查和評(píng)估，以確保計(jì)劃仍然有效，以及任何新風(fēng)險(xiǎn)已被識(shí)別和解決。