如何评估潜在供应商的网络风险

评估潜在供应商的网络风险是任何组织管理第三方风险的最重要方面之一。供应商风险评估流程可帮助企业决定与哪些合作伙伴或服务提供商合作，更重要的是，决定将最敏感的数据委托给谁。

网络安全风险评估流程必须明确定义和程序化，以便组织可以选择合适的第三方供应商，避免因数据泄露或数据泄露而导致重大财务、声誉和法律损失的风险。如果他们选择与之合作的供应商未能维护基本的安全要求并且不遵守法规要求，组织也将有过错。本指南将重点介绍组织如何为潜在供应商识别和评估网络风险，以及他们如何为这一过程做好准备。

网络风险评估需要完成什么？

网络风险评估过程需要完成一个主要目标：识别和分类风险以确定其潜在影响和发生的可能性。为此，组织需要了解风险的性质、风险发生的方式、影响的对象或对象，以及最坏情况下的所有潜在结果。每个组织都必须在供应商采购过程中进行尽职调查，以降低其运营风险。

除了评估网络风险，整体供应商风险管理策略还必须在选择与新供应商合作或合作之前考虑风险分析。如果发生网络攻击，风险分析通过限定风险的重要性并量化其对业务运营的影响范围来补充风险评估。

重要的是要注意，风险评估不应仅在新供应商的入职过程中执行——它们必须在供应商的整个生命周期中定期执行，以确保他们保持其网络安全态势。如果供应商开始放弃并忽视他们的安全计划，则由组织决定是否更换该供应商或与他们合作以补救其风险。这称为“供应商关系管理”，对于任何供应商风险管理计划都是必不可少的。

评估供应商网络风险的分步指南

组织和企业可以按照以下步骤作为其网络风险评估过程的一部分：

• 识别所有关键业务资产、系统和数据
• 识别所有潜在风险、漏洞和网络威胁
• 确定风险标准和风险承受能力
• 审查现有的安全控制
• 验证是否符合现有行业标准、框架和法规
• 计算风险发生的可能性和总影响
• 定义合同条款和服务级别协议 (SLA)

1. 识别所有关键业务资产、系统和数据

了解哪些资产对您的组织最重要是供应商风险评估流程的第一步。作为流程的一部分，需要访问更敏感信息的供应商必须满足更严格的安全要求。

如果企业不先了解他们的哪些资产最有价值并招致最大风险，就不可能为其供应商评估网络风险。在确定最重要的资产后，组织可以开始围绕这些资产定制供应商风险评估，并专注于最相关的安全控制。

2. 识别所有潜在风险、漏洞和网络威胁

一旦确定了所有关键资产，企业就必须确定在与供应商共享数据时面临的风险类型，以及它们可能如何被利用或暴露。具有未修补漏洞、大攻击面和缺乏威胁管理的潜在供应商可能是早期需要审查的初始危险信号。

一旦确定了所有风险和漏洞，就应按严重程度（低、中、高、严重）和发生的可能性（不太可能、可能、极可能）对它们进行分级和分类。

此外，企业需要确定资产在供应链中的处理方式（如果有的话）。如果多个供应商正在处理资产，包括额外的第四方服务提供商，那么这些组织将需要考虑扩展其第三方风险管理计划以包括第四方风险管理。

3. 确定风险标准和风险承受能力

在进入采购流程之前，组织必须为所有潜在供应商建立最低安全要求。这为衡量供应商安全性建立了一个基线，以帮助简化整个流程。不符合这些要求的供应商，无论是潜在供应商还是现有供应商，都应自动标记并拒绝或终止合同。

在这样做时，组织定义了他们的风险承受能力或风险偏好，这指定了他们在评估潜在供应商时愿意接受的风险级别。由于每个供应商也有自己的风险概况，因此确定可接受的风险级别将使组织能够优先考虑所有供应商的风险和威胁管理。供应商也可以按其整体关键级别进行分级，以便组织可以快速查看谁需要首先审查和解决问题。

4.审查现有的安全控制

安全控制是每个公司安全计划的支柱，必须针对所有潜在供应商进行评估。这意味着验证供应商是否具有适当的安全措施来处理您组织最重要的数据。如果供应商没有适当的安全控制措施，则由组织帮助实施它们或提供实施适当控制措施的指导。

但是，由于每个供应商的安全控制都是独特且不同的，因此该过程的这一步可能特别耗时且资源密集。这可能会给扩展业务或已经管理数百家供应商的大型企业带来问题。

为确保每个供应商的安全都受到全面监控，组织需要考虑使用专用的供应商管理服务或工具来自动执行这些步骤并扩展评估流程。一些特别有用的解决方案或工具是：

• 安全评级服务
• 风险和漏洞扫描器
• 持续监控解决方案
• 安全调查问卷和合规经理

在某些情况下，企业级组织可能希望考虑在更大范围内外包整个网络供应商风险管理流程。

5. 验证是否符合现有行业标准、框架或法规

合规性是安全评估过程的重要组成部分，因为它可以根据供应商所在的行业确定供应商是否满足法律规定的安全要求。组织可以使用风险评估问卷来验证是否符合各种法规和框架。

尽管并非所有评估标准或框架都是法律强制性的，但供应商很可能需要遵循其中的一项或多项，以满足组织设定的最低安全要求。在许多情况下，最低要求基于信息安全行业标准。不合规的供应商可能被归类为较高风险，从而降低他们建立业务伙伴关系的潜力。

一些最大或最常见的评估标准包括：

• NIST（美国国家标准技术研究院）CSF
• HECVAT（高等教育社区供应商评估工具）
• HIPAA（健康保险流通与责任法案）
• PCI-DSS（支付卡行业数据安全标准）
• ISO（国际标准化组织）27001
• 欧盟 GDPR（通用数据保护条例）
• CCPA（加州消费者隐私法）
• SOX（2002 年萨班斯-奥克斯利法案）
• COBIT（信息和相关技术的控制目标）
• GLBA（格拉姆-里奇-比利利法案）
• FISMA（2014 年联邦信息安全现代化法案）
• CIS 控制（互联网安全控制中心）
• 标准化信息收集 (SIG)
• 云安全联盟 (CSA)

6.计算风险发生的可能性和总影响

计算供应商风险的最简单方法是Likelihood x Impact = Risk。然而，计算风险的方法不能简化为一个单一的方程式。还必须考虑其他因素，例如威胁的类型、漏洞的严重性和信息价值。相反，许多 IT 安全专家使用的一种常见（和流行）方法是定性和定量风险分析。

定性风险分析通常基于场景，并使用假设情况来确定感知风险。定性方法比定量方法更主观，需要了解每个面向公众的风险的声誉风险和财务影响。

另一方面，定量风险评估方法从统计的角度衡量网络风险，通过使用包括发生可能性、损失预期和风险补救成本在内的指标来量化风险的确切成本。

组织可以将他们的风险计算结果纳入他们的评估过程，以最终决定是加入还是拒绝潜在的供应商。被视为高风险供应商的第三方可能会导致组织寻找替代供应商或制定更严格的要求和更密切的监控，以确保所有风险都得到缓解或补救。

7. 定义合同条款和服务级别协议 (SLA)

如果供应商被认为是可接受的并满足组织的要求，最后一步是在 SLA 中定义合同条款，包括支持强大的网络安全实践和违规条款的协议。管理第三方关系（或任何业务关系）的部分过程是确保供应商理解业务协议的条款，这些条款可以每年审查一次。

请务必注意，在采购过程中和签署任何 SLA 之前，组织不必开始风险补救过程，除非供应商被视为“关键供应商”或对业务继续运​​营至关重要的供应商。如果该供应商被归类为严重风险级别的“关键供应商”，则可能会影响后续起草的SLA具有更严格、更严格的安全要求。