隨著業(yè)務速度的提高，越來越多的企業(yè)尋求第三方服務以獲得市場優(yōu)勢。隨著企業(yè)擴大其供應商基礎，迫切需要全面的第三方風險管理（TPRM） 和全面的網絡安全措施以評估供應商構成的風險程度。

　　第三方會帶來哪些網絡安全風險？

　　01 數據泄露：勒索軟件、網絡釣魚和對供應商或其系統(tǒng)的直接攻擊威脅企業(yè)的數據隱私。此外，供應商的組織安全性差和控制執(zhí)行不力也會給企業(yè)帶來安全風險。

　　02 服務中斷：惡意軟件和分布式拒絕服務（DDoS）攻擊可能會破壞企業(yè)供應商的系統(tǒng)，從而無法為企業(yè)的 IT 基礎設施提供服務。也因此，這可能會使企業(yè)系統(tǒng)暴露而受到攻擊無法向客戶提供相應服務。

　　03 合規(guī)風險：監(jiān)管機構越來越多地讓企業(yè)及其供應商參與網絡安全合規(guī)。企業(yè)不僅需要遵守法規(guī)，并確保其供應商遵守相關法規(guī)。

　　如何協同第三方解決網絡安全問題？

　　01 整合網絡安全和 TPRM

　　企業(yè)應了解網絡安全優(yōu)先事項的作用是確定供應商在 TPRM 中遵守的監(jiān)管標準和控制措施。企業(yè)整合網絡安全和 TPRM，以減少工作流程的處理以及風險決策方面的重疊。

　　網絡安全和 TPRM 的整合對于企業(yè)來說，有以下幾點好處：

　　● 控制第三方風險偏差，與自身保持同步；

　　● 降低合規(guī)成本，提高運營效率；

　　● 增強安全風險應對的能力。

　　企業(yè)還應了解第三方對其系統(tǒng)、數據和基礎設施的訪問權限。除此之外，企業(yè)要確保采取充分適當的應對措施和控制措施來確保這些系統(tǒng)的端口安全。

　　02 開展深入全面的盡職調查

　　一旦企業(yè)為網絡安全控制和指標建立了堅實的內部基礎，其便可以開始對新的和現有的供應商開展深入全面的盡職調查。TPRM 團隊應盡可能收集高度相關信息，如供應商的歷史事件和未來狀態(tài)展望，以了解供應商網絡安全風險。

　　僅當潛在供應商的網絡安全實踐符合企業(yè)規(guī)則時，才應與其合作，并且應根據供應商對企業(yè)構成的風險級別將其進行分層分類。

　　03 進行持續(xù)監(jiān)控

　　僅對供應商開展盡職調查不足以捕捉其不斷變化的風險態(tài)勢。企業(yè)應通過進行持續(xù)監(jiān)控以了解供應商網絡安全控制和狀態(tài)的變化。除此之外，定期評估供應商群體的安全性也十分重要。初始的盡職調查可以為企業(yè)展示供應商安全性的初始評分，企業(yè)應對供應商進行深入持續(xù)的安全性評分。企業(yè)可以根據供應商在年度、兩年或三年時間框架內的總體風險來進行評分評級。

　　企業(yè)應與值得信賴的安全供應商一起改善業(yè)務，規(guī)避風險。這是企業(yè)的業(yè)務需求，更是雙方共同的企愿。

　　更多信息可以來這里獲取==>>電子技術應用-AET<<