《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 金融機(jī)構(gòu)第三方風(fēng)險(xiǎn)管理(TPRM)的目標(biāo)與實(shí)施

金融機(jī)構(gòu)第三方風(fēng)險(xiǎn)管理(TPRM)的目標(biāo)與實(shí)施

2022-11-07
來(lái)源:安全牛

  企業(yè)網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)體系化工作,任何一處的短板都將影響其最終安全防護(hù)效果。隨著數(shù)字化轉(zhuǎn)型的深入,很多企業(yè)已經(jīng)高度重視自身的網(wǎng)絡(luò)安全保障工作,卻往往忽視了對(duì)第三方安全風(fēng)險(xiǎn)的有效管理。

  不管企業(yè)規(guī)模大小,其在開(kāi)展生產(chǎn)經(jīng)營(yíng)活動(dòng)的過(guò)程中,總是存在著和第三方機(jī)構(gòu)(人員)發(fā)生業(yè)務(wù)往來(lái)的交互過(guò)程,這意味著每個(gè)企業(yè)都會(huì)面臨第三方風(fēng)險(xiǎn)威脅,包括市場(chǎng)環(huán)境風(fēng)險(xiǎn)(Market environment risk)、信用責(zé)任風(fēng)險(xiǎn)(Credit responsibility risk)、服務(wù)交付風(fēng)險(xiǎn)(Service delivery risk)、安全控制風(fēng)險(xiǎn)(Security controls risk)等多個(gè)方面。而與之對(duì)應(yīng)的第三方風(fēng)險(xiǎn)管理(Third Party Risk Management,簡(jiǎn)稱TPRM),就是要了解并管理好第三方合作機(jī)構(gòu)可能給企業(yè)本身帶來(lái)的負(fù)面影響,并采取積極主動(dòng)的措施,應(yīng)對(duì)可能由此產(chǎn)生的風(fēng)險(xiǎn)損失。

  微信圖片_20221107134001.png

     TPRM對(duì)金融機(jī)構(gòu)的價(jià)值

  TPRM是一個(gè)持續(xù)的過(guò)程,用來(lái)評(píng)估、監(jiān)控和管理來(lái)自與外部有關(guān)方合作帶來(lái)的風(fēng)險(xiǎn)。對(duì)于金融機(jī)構(gòu)而言,TPRM對(duì)于降低運(yùn)營(yíng)風(fēng)險(xiǎn)、防止?jié)撛诘呢?cái)務(wù)損失至關(guān)重要。對(duì)于金融機(jī)構(gòu)而言,積極開(kāi)展有效的第三方風(fēng)險(xiǎn)管理,可以帶來(lái)以下好處:

  01 確保第三方機(jī)構(gòu)與自身業(yè)務(wù)風(fēng)險(xiǎn)偏好保持一致

  TPRM提供了一種系統(tǒng)性的方法來(lái)識(shí)別、評(píng)估和監(jiān)控與第三方合作帶來(lái)的風(fēng)險(xiǎn)。反過(guò)來(lái),它讓金融機(jī)構(gòu)可以做出明智的決定,確定與其他組織或企業(yè),甚至行業(yè)外的組織或企業(yè)建立關(guān)系或繼續(xù)合作是否安全。

  此外,如果了解和管理與第三方合作帶來(lái)的風(fēng)險(xiǎn),金融機(jī)構(gòu)可以更有把握地尋求機(jī)會(huì),同時(shí)仍堅(jiān)持整體風(fēng)險(xiǎn)偏好。

  02 降低合規(guī)成本,提高運(yùn)營(yíng)效率

  運(yùn)作良好的TPRM計(jì)劃有助于確保金融機(jī)構(gòu)遵守監(jiān)管要求,幫助金融機(jī)構(gòu)降低由于業(yè)務(wù)違規(guī)導(dǎo)致的合規(guī)成本,比如罰款和處罰。TPRM還可以通過(guò)統(tǒng)一風(fēng)險(xiǎn)識(shí)別和評(píng)估方法來(lái)幫助金融機(jī)構(gòu)提高業(yè)務(wù)運(yùn)營(yíng)效率。此外,它有助于減少對(duì)手動(dòng)風(fēng)險(xiǎn)處置流程和跨部門重復(fù)工作的需求。

  03 增強(qiáng)安全風(fēng)險(xiǎn)應(yīng)對(duì)的能力

  如果能夠清晰了解與第三方合作帶來(lái)的風(fēng)險(xiǎn),金融機(jī)構(gòu)就可以制定和實(shí)施更有效的風(fēng)險(xiǎn)緩解策略。TPRM有助于金融機(jī)構(gòu)及時(shí)識(shí)別出潛在的安全風(fēng)險(xiǎn),并盡可能減少風(fēng)險(xiǎn)造成的影響和損失。通過(guò)開(kāi)展TPRM工作,可以幫助金融機(jī)構(gòu)與第三方服務(wù)提供商建立更穩(wěn)固的合作關(guān)系。這種聯(lián)系有助于改善風(fēng)險(xiǎn)管理方面的溝通和協(xié)作,從而進(jìn)一步改善風(fēng)險(xiǎn)緩解工作。

  04 維護(hù)商業(yè)聲譽(yù),增強(qiáng)用戶信心

  TPRM可以幫助金融機(jī)構(gòu)避免或降低與第三方合作帶來(lái)的商譽(yù)損失風(fēng)險(xiǎn)。此外,通過(guò)有效地管理與第三方合作帶來(lái)的風(fēng)險(xiǎn),金融機(jī)構(gòu)可以增強(qiáng)客戶的信心,在市場(chǎng)上保持良好聲譽(yù),保障金融業(yè)務(wù)的穩(wěn)定開(kāi)展。

  TPRM落地的5個(gè)關(guān)鍵階段

  金融機(jī)構(gòu)在開(kāi)展TPRM時(shí),可以參照企業(yè)IT風(fēng)險(xiǎn)管理生命周期的理念,將風(fēng)險(xiǎn)管理流程分為以下幾個(gè)關(guān)鍵階段:

  01 風(fēng)險(xiǎn)評(píng)估

  風(fēng)險(xiǎn)評(píng)估是開(kāi)展TPRM的關(guān)鍵階段。風(fēng)險(xiǎn)審計(jì)師在這個(gè)階段需要嘗試識(shí)別和評(píng)估可能與使用第三方服務(wù)相關(guān)的任何風(fēng)險(xiǎn)。目的是查明哪些方面可能存在導(dǎo)致數(shù)據(jù)泄露或其他安全事件的漏洞。為此,風(fēng)險(xiǎn)審計(jì)師將審查金融機(jī)構(gòu)與第三方服務(wù)提供商相關(guān)的政策和工作流程。他們還將詢問(wèn)關(guān)鍵業(yè)務(wù)人員,對(duì)過(guò)去的一些工作內(nèi)容進(jìn)行審查。通過(guò)識(shí)別和評(píng)估與第三方服務(wù)提供商相關(guān)的風(fēng)險(xiǎn),風(fēng)險(xiǎn)審計(jì)師可以幫助金融機(jī)構(gòu)采取措施,降低這些風(fēng)險(xiǎn),改善整體安全狀況。

  02 風(fēng)險(xiǎn)管理規(guī)劃

  當(dāng)?shù)谌斤L(fēng)險(xiǎn)被充分識(shí)別后,金融機(jī)構(gòu)可以進(jìn)入到第三方風(fēng)險(xiǎn)管理規(guī)劃階段。這時(shí)需要充分聽(tīng)取各利益相關(guān)者的意見(jiàn),包括IT專業(yè)人員、業(yè)務(wù)部門和外部審計(jì)機(jī)構(gòu)。這個(gè)過(guò)程可能很漫長(zhǎng),長(zhǎng)短取決于所審查系統(tǒng)的復(fù)雜性。該階段涵蓋的一些關(guān)鍵方面包括如下:

  確定TPRM計(jì)劃的目標(biāo);

  識(shí)別需要緩解哪些風(fēng)險(xiǎn);

  制定管理第三方風(fēng)險(xiǎn)的政策和程序;

  選擇和實(shí)施控制措施,緩解已識(shí)別的安全風(fēng)險(xiǎn)。

  03 效果測(cè)試

  在風(fēng)險(xiǎn)管理計(jì)劃到位后,風(fēng)險(xiǎn)審計(jì)師將進(jìn)行實(shí)施測(cè)試,以確保落實(shí)到位的控制措施安全有效。這通常需要審查文件和詢問(wèn)關(guān)鍵人員。

  效果測(cè)試工作還可能需要進(jìn)行某種形式的現(xiàn)場(chǎng)測(cè)試,比如:

  滲透測(cè)試:這種測(cè)試用于模擬真實(shí)世界的攻擊,從而評(píng)估系統(tǒng)和控制措施的安全性。

  漏洞掃描:這種測(cè)試使用自動(dòng)化工具來(lái)識(shí)別系統(tǒng)中的潛在安全漏洞。

  安全評(píng)估:這種測(cè)試由安全專家團(tuán)隊(duì)進(jìn)行,他們手動(dòng)測(cè)試系統(tǒng)查找漏洞。

  04 風(fēng)險(xiǎn)管理報(bào)告

  TPRM在正式實(shí)施之前,需要準(zhǔn)備一份詳細(xì)說(shuō)明調(diào)查結(jié)果的報(bào)告,內(nèi)容包括TPRM計(jì)劃的概述以及改進(jìn)建議。報(bào)告的目的是讓企業(yè)清楚地了解自身第三方風(fēng)險(xiǎn)的概況,以及如何改善整體安全狀況的建議。

  05 監(jiān)控和維護(hù)

  TPRM的最后一個(gè)階段是監(jiān)控和維護(hù)。在這個(gè)階段將確保報(bào)告給出的建議得到實(shí)施,TPRM計(jì)劃得到有效管理。這通常需要定期審查和評(píng)估,以確保計(jì)劃仍然有效,以及任何新風(fēng)險(xiǎn)已被識(shí)別和解決。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。