【CS論壇】風險管理中的新次元：eVRM

本文講的是 【CS論壇】風險管理中的新次元：eVRM，網絡罪犯正在把目光轉向第三方供應商，以獲得後門通路資料。是以，作為安全從業人員則需要重新考慮風險管理的内容了。

雖然基于對供應商的風險管理問卷調查是一個普遍的有效方法，但并不足以應對新出現的與第三方有關的風險威脅。管理規則的變化和演變中的威脅環境無不催生着一種新型的風險管理手段：泛企業供應商風險管理（eVRM: enterprise-wide Vendor Risk Management）

塔吉特和家得寶的資料洩露事件已經證明，由第三方供應商引發的系統和業務漏洞能夠給企業帶來災難性的後果。是以，僅是簡單地第三方供應商實施傳統的風險管理機制已經不夠。我們還需要保護與第三方相關的風險控制。

從紙面上來說，供應商不過是一個數字。但即使是中型企業這個數字也會輕易超過100家，可能包括包括了技術、裝置、支付等各種第三方供應商。大多數企業隻會關注所有供應商的一小部分，一般主要以合同的重要性來選擇關注。

供應鍊上與第三方有關的風險正在加大，已經影響到企業的營運、合規、名譽、信任和戰略。這些風險又被正在增長的多樣化、大量化和複雜化的外包工作進一步惡化。出于這種形勢，管理和标準體系（如MAC/OCC/BaFin/FCA/FedRAMP/BITS/NERC/NEI/ISO/PCI/AICPA等）正在強制實施更加嚴格的第三方供應商管理指南。比如，需要對供應商實施正常性的風險評估，如果可能的話，甚至是供應商的供應商。

以前，機構通常對新進入的第三方供應商使用較低的風險評估标準，評估合作夥伴的相關風險都是事後才做。一份發給供應商的安全規則調查評估表，不知道要等待多長時間才能收到回報。

為了應對新興的威脅，機構應該實施并擴充傳統的供應商網絡管理工作，以下四步可以作為參考：

建立外包管理部門

一個重要的成功因素，就是清晰地定義負責外包關系管理人員的角色和責任。然而，要想保證标準化的流程，則需要有一個服務機構中心，承擔政策維護，資料存儲，管理資訊生成和大範圍推廣。越來越多的機構正在建立所謂的供應商管理辦公室（VMO），以促進外包管理流程。安全管理負責風險識别和風險緩和，而VMO負責提供必要的後勤保障和評估标準。

重視端到端的評估流程

正如上文所提到的，機構通常把新加入的供應商與供應商控制評估流程分隔開來。因為傳統的評估方法時間周期很長，以至于會影響到業務的運轉和效率。但最近一年來的資料洩露事件表明，機構需要特别關注端到端的評估流程，確定對新加入供應商的安全風險評估作為整個評估工作的一部分。

初步的評估工作應該包括持續性風險評估、資訊安全風險、服務風險和管理風險，而且如果初步發現問題，則需要更深一步的分析。如果需要進一步分析某供應商，則需要對其财務穩定性、完整性、财力和安全控制力進行更詳細的評估。一旦供應商正式成為合作夥伴，機構應該進行經常性的供應商控制評估，以確定符合機構的标準和指導原則。

依據服務而不是依據供應商分類

一個更好的方法是通過供應商所提供的服務分類，而不是去評估供應商的相關風險。這是因為，一個供應商可能會給企業提供多種服務，而每一種服務都有可能存在安全風險。顯然，采取這種方法隻需增加需要監控和評估的項目數量，但卻保證了減緩第三方風險的檢測顆粒度。

擴充基于調查的方法

機構還應擴充傳統的調查方法，把實時資料（如ERP系統、合同、法務系統中的資料）也統計在内。例如，發現某供應商違反安全規定使用多個IP位址，那麼機構本身的IP被占用的未來風險就會很高。資料會給整個風險評估過程增加更為客觀的因素，而調查結果隻能依靠答卷人的誠實度。

資料洩露的威脅，公衆審視和管理處罰令供應商的風險管理成為焦點。沒有正确的監督和系統地記錄、評估及減緩第三方供應商風險的架構，一個機構就會處于非常容易遭受攻擊的境況下。上述四個步驟将有助于降低來自第三方的風險，新型的eVRM工具能夠協助處理這些與工作範圍、工作流管理、資料連通性和時間效率等方面的難點。

原文釋出時間為：一月 30, 2015

本文作者：王小瑞

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。