偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

做好第三方風(fēng)險(xiǎn)管理(TPRM)須面對八大挑戰(zhàn)

安全 應(yīng)用安全
隨著企業(yè)規(guī)模的擴(kuò)大和第三方合作伙伴數(shù)量的增加,其TPRM計(jì)劃的維護(hù)將變得更具挑戰(zhàn)性。實(shí)現(xiàn)自動(dòng)化是企業(yè)加強(qiáng)其TPRM計(jì)劃的最佳方式。

隨著軟件供應(yīng)鏈攻擊的不斷加劇,如何進(jìn)一步加強(qiáng)第三方風(fēng)險(xiǎn)管理(TPRM)工作已經(jīng)成為現(xiàn)代企業(yè)領(lǐng)導(dǎo)者們關(guān)注的焦點(diǎn)。因?yàn)?,今天的企業(yè)組織大量依賴于第三方生態(tài)來共同構(gòu)建產(chǎn)品,并完成對用戶的服務(wù)交付,因此創(chuàng)建一個(gè)有效的TPRM計(jì)劃對于組織評估潛在的安全風(fēng)險(xiǎn),管理不斷增長的數(shù)字攻擊面至關(guān)重要。

當(dāng)企業(yè)開始實(shí)施TPRM計(jì)劃時(shí),面臨困難和挑戰(zhàn)是在所難免的,這取決于其第三方生態(tài)系統(tǒng)的規(guī)模、安全態(tài)勢以及組織的現(xiàn)有安全狀況。日前,安全研究人員總結(jié)了企業(yè)組織在實(shí)施TPRM計(jì)劃時(shí)將面臨的最常見挑戰(zhàn): 

  • 如何繪制有效地生態(tài)系統(tǒng)全景圖;
  • 如何開展供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)評級;
  • 如何為供應(yīng)商設(shè)置風(fēng)險(xiǎn)處置優(yōu)先級;
  • 如何開展供應(yīng)商安全問卷調(diào)查;
  • 如何增強(qiáng)對所有供應(yīng)商的安全可見性;
  • 如何實(shí)現(xiàn)可持續(xù)地風(fēng)險(xiǎn)監(jiān)控;
  • 如何構(gòu)建自動(dòng)化TPRM流程;
  • 如何創(chuàng)建高效的TPRM管理策略。

01如何繪制有效地生態(tài)系統(tǒng)全景圖

企業(yè)在實(shí)施TPRM計(jì)劃時(shí),面臨的第一個(gè)挑戰(zhàn)就是如何創(chuàng)建其供應(yīng)商生態(tài)系統(tǒng)的完整視圖。該視圖不僅應(yīng)包括組織當(dāng)前所有第三方供應(yīng)商的清單,還需要包括可能給組織帶來潛在風(fēng)險(xiǎn)的第四方服務(wù)商。當(dāng)組織無法有效地映射其供應(yīng)商時(shí),生態(tài)系統(tǒng)中就會產(chǎn)生盲點(diǎn),并導(dǎo)致組織混亂、缺乏風(fēng)險(xiǎn)可見性、未管理風(fēng)險(xiǎn)的增加以及供應(yīng)鏈攻擊的機(jī)會。

為了繪制完整的生態(tài)視圖,組織應(yīng)該在所有內(nèi)部部門之間共享供應(yīng)商信息,以有效地映射其整個(gè)第三方生態(tài)系統(tǒng)。組織還可以通過識別在第三方關(guān)系(會計(jì)、法律、運(yùn)營等)中活躍的人員,專門評估每個(gè)人所涉及的重要供應(yīng)商信息(支出報(bào)告、合同、訂單等),并統(tǒng)一協(xié)調(diào)供應(yīng)商信息。在繪制生態(tài)系統(tǒng)視圖的同時(shí),組織還應(yīng)該同步設(shè)置入駐程序,以便將來添加新的供應(yīng)商。

02如何開展供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)評級

TPRM計(jì)劃實(shí)施的另一個(gè)常見挑戰(zhàn)是確定哪些風(fēng)險(xiǎn)評估措施是審核供應(yīng)商風(fēng)險(xiǎn)概況時(shí)所必需的。而在執(zhí)行盡職調(diào)查時(shí),組織又需要根據(jù)哪些因素(包括供應(yīng)商與敏感數(shù)據(jù)的接近程度、運(yùn)營重要性等)對供應(yīng)商進(jìn)行風(fēng)險(xiǎn)級別評價(jià)?

風(fēng)險(xiǎn)評級可以幫助組織管理和準(zhǔn)確評估供應(yīng)商可能帶給組織的潛在風(fēng)險(xiǎn)程度。如果不能有效將風(fēng)險(xiǎn)分級納入到供應(yīng)商盡職調(diào)查計(jì)劃,企業(yè)將難以確定與該供應(yīng)商開展業(yè)務(wù)合作是否安全。為了做好供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)評級,組織應(yīng)該利用成熟的第三方供應(yīng)商管理工具來協(xié)助完成供應(yīng)商風(fēng)險(xiǎn)水平的評測。

03如何為供應(yīng)商設(shè)置風(fēng)險(xiǎn)處置優(yōu)先級

在執(zhí)行完供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)分級之后,組織還需要決定將哪些供應(yīng)商列為優(yōu)先進(jìn)行風(fēng)險(xiǎn)處置和事件響應(yīng)。通常,對企業(yè)業(yè)務(wù)運(yùn)營至關(guān)重要的供應(yīng)商可能會獲得最高級別的風(fēng)險(xiǎn)處置關(guān)注。

 一個(gè)完善的供應(yīng)商風(fēng)險(xiǎn)管理系統(tǒng)應(yīng)該允許組織主動(dòng)發(fā)現(xiàn)第三方安全風(fēng)險(xiǎn),按嚴(yán)重程度對安全風(fēng)險(xiǎn)進(jìn)行排序,并要求供應(yīng)商及時(shí)糾正錯(cuò)誤。對于高風(fēng)險(xiǎn)供應(yīng)商,可能需要更嚴(yán)格的第三方風(fēng)險(xiǎn)管理策略。對于最高風(fēng)險(xiǎn)級別的供應(yīng)商,可能需要遠(yuǎn)程或現(xiàn)場審計(jì)以確保信息安全。相比之下,低風(fēng)險(xiǎn)的供應(yīng)商通常只需要例行合規(guī)性檢查即可。

04如何開展供應(yīng)商安全問卷調(diào)查

各種類型的供應(yīng)商風(fēng)險(xiǎn)評估方法(審計(jì)、滲透測試和問卷調(diào)查)都有其優(yōu)點(diǎn)和缺點(diǎn)?,F(xiàn)場審計(jì)和滲透測試需要大量的資源,包括時(shí)間、金錢和專業(yè)人員。在這種情況下,大多數(shù)組織都會選擇自我評價(jià)風(fēng)險(xiǎn)的問卷調(diào)查方式,這也比較適用于中等及以下風(fēng)險(xiǎn)等級的供應(yīng)商。

當(dāng)企業(yè)組織在整個(gè)供應(yīng)鏈中分發(fā)安全調(diào)查問卷時(shí),要確保每個(gè)供應(yīng)商都能夠認(rèn)真填寫問卷,并驗(yàn)證每個(gè)供應(yīng)商答案的有效性,這些都可能給組織帶來挑戰(zhàn)。為了應(yīng)對這一挑戰(zhàn),組織應(yīng)該考慮將問卷調(diào)查工作外包給獨(dú)立的第三方結(jié)構(gòu),這樣可以顯著提升問卷調(diào)查的有效性。

05如何增強(qiáng)對所有供應(yīng)商的安全可見性

隨著數(shù)字化轉(zhuǎn)型發(fā)展的深入,企業(yè)的供應(yīng)商生態(tài)系統(tǒng)也在不斷增長,其安全可見性將變得越來越難以維護(hù)。對于組織來說,需要將所有供應(yīng)商的安全可見性與保護(hù)數(shù)據(jù)隱私的合規(guī)要求結(jié)合起來,以確保所有供應(yīng)商都能符合行業(yè)性的安全標(biāo)準(zhǔn)。為了應(yīng)對這一挑戰(zhàn),企業(yè)可以利用供應(yīng)商管理工具在一個(gè)集中位置監(jiān)視所有供應(yīng)商,并持續(xù)性分析整個(gè)供應(yīng)鏈中每個(gè)供應(yīng)商的合規(guī)狀態(tài),及時(shí)發(fā)現(xiàn)其中的違規(guī)風(fēng)險(xiǎn)。

06如何實(shí)現(xiàn)可持續(xù)地風(fēng)險(xiǎn)監(jiān)控

在第三方風(fēng)險(xiǎn)管理過程中,很多風(fēng)險(xiǎn)評估方法僅能夠評估當(dāng)前時(shí)刻供應(yīng)商的風(fēng)險(xiǎn)態(tài)勢。但是,隨著業(yè)務(wù)的推進(jìn)發(fā)展,以及供應(yīng)商的安全態(tài)勢不斷變化,這可能會使組織無法及時(shí)識別出很多動(dòng)態(tài)產(chǎn)生的第三方安全風(fēng)險(xiǎn)。

為了獲取到最新的風(fēng)險(xiǎn)視圖,組織應(yīng)該在其TPRM計(jì)劃中實(shí)現(xiàn)連續(xù)的風(fēng)險(xiǎn)監(jiān)控。持續(xù)監(jiān)控可組織帶來如下好處: 

  • 顯著提高第三方安全事件響應(yīng)指標(biāo);
  • 提高整個(gè)供應(yīng)商生態(tài)系統(tǒng)的持續(xù)可見性;
  • 消除問卷周期之間可能出現(xiàn)的安全盲點(diǎn);
  • 提供實(shí)時(shí)的安全狀態(tài)更新。

07如何構(gòu)建自動(dòng)化TPRM流程

隨著企業(yè)規(guī)模的擴(kuò)大和第三方合作伙伴數(shù)量的增加,其TPRM計(jì)劃的維護(hù)將變得更具挑戰(zhàn)性。實(shí)現(xiàn)自動(dòng)化是企業(yè)加強(qiáng)其TPRM計(jì)劃的最佳方式。通過自動(dòng)化流程,企業(yè)可以將其TPRM工作標(biāo)準(zhǔn)化,減少風(fēng)險(xiǎn)管理中的錯(cuò)誤和疏漏。一些先進(jìn)的自動(dòng)化TPRM工具還配備了風(fēng)險(xiǎn)審計(jì)工具,可以確保部署的風(fēng)險(xiǎn)控制措施安全有效。

08如何創(chuàng)建高效的TPRM管理策略

在TPRM實(shí)施過程中,企業(yè)將面臨的最困難的挑戰(zhàn)就是如何將風(fēng)險(xiǎn)管理的各個(gè)環(huán)節(jié)融合在一起,形成一個(gè)全面、高效的第三方供應(yīng)商風(fēng)險(xiǎn)管理體系。大量應(yīng)用實(shí)踐表明,一個(gè)完整的TPRM管理策略應(yīng)包括以下關(guān)鍵元素:

  • 供應(yīng)商合規(guī)標(biāo)準(zhǔn);
  • 供應(yīng)商在數(shù)據(jù)泄露事件中的責(zé)任;
  • 可接受的供應(yīng)商安全態(tài)勢和安全等級控制;
  • 發(fā)生第三方數(shù)據(jù)泄露或安全事件時(shí)的響應(yīng)計(jì)劃;
  • 組織對戰(zhàn)略風(fēng)險(xiǎn)和其他TPRM原則的態(tài)度;
  • 高級管理層的監(jiān)督管理制度。 

參考鏈接:https://www.upguard.com/blog/tprm-challenges

責(zé)任編輯:武曉燕 來源: 安全牛
相關(guān)推薦

2022-08-29 12:15:25

網(wǎng)絡(luò)安全建設(shè)第三方風(fēng)險(xiǎn)管理網(wǎng)絡(luò)安全

2018-09-30 15:18:29

2017-11-01 06:40:33

2011-10-08 14:37:59

漏洞

2015-11-05 16:44:37

第三方登陸android源碼

2024-02-20 14:48:40

2024-01-30 16:51:15

風(fēng)險(xiǎn)管理第三方風(fēng)險(xiǎn)緩解風(fēng)險(xiǎn)

2018-12-14 09:09:40

網(wǎng)絡(luò)風(fēng)險(xiǎn)管理數(shù)據(jù)外泄網(wǎng)絡(luò)安全

2024-03-25 08:00:00

數(shù)字化轉(zhuǎn)型

2024-04-03 12:57:29

2024-06-24 21:34:34

2015-01-22 10:32:28

2023-07-07 13:32:03

第三方安全風(fēng)險(xiǎn)網(wǎng)絡(luò)安全

2019-07-30 11:35:54

AndroidRetrofit

2014-07-23 08:55:42

iOSFMDB

2014-08-13 10:27:23

CocoaPods

2019-09-23 10:29:27

安全數(shù)據(jù)技術(shù)

2022-07-15 14:54:43

安全供應(yīng)鏈數(shù)字化

2016-10-14 14:37:36

安全風(fēng)險(xiǎn)安全第三方訪問

2023-05-23 11:48:28

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號