博客

供应商合规性管理的重要性

Holli Hagene.

4月21日2021年

介绍

在当今的商业世界中,世界各地的公司之间存在许多链接,例如您依赖的供应商和其他外部,第三方。

例如,如果您制造产品并将其分发到市场中,您将依赖于其他实体为您提供原材料,以及其他人,也可以确保您为客户提供的内容是高分行为。

但是对于所有这些互连,一个节点的任何故障都可以快速级联到您的制造和分配过程的其他部分。这在其中发生这种情况的一个领域是第三方供应商网络安全,这是本文的焦点。

什么是供应商合规性?

简单地说,它可以特别定义如下:

“它是指管理公司的所有方面以及您的供应商遵守法定,法律和技术要求。它确保您的业务和您的供应商都符合法律兼容,审核和验证,以访问行业相关的交易机会和减轻交易风险。“

资料来源:1)。

换句话说,您希望第三方您依赖于达到与您的业务建立和维护的相同网络安全标准。这主要包括两个区域:

  • 保护个人可识别信息(PII)数据集;
  • 符合最近的数据隐私法,特别是CCPA和GDPR的数据。
  • 实施一个众所周知的模型
  • 确保合规
  • 这不是一个和完成的过程

在大多数情况下,您将向这些供应商分享有关客户的机密数据,以完成您已将其外包给他们的任务。您必须确保所有安全协议都已到位(就像您的所有安全协议)来保护您的客户,尤其是当它来自身份验证的角度时。例如,只有那些必须访问它的个人将在不同级别中确认其身份。

其中部分是确保供应商遵守主要数据隐私法。不幸的是,法律规定,如果您与第三方的任何PII数据集无意识地或恶意地发布,您可能会对此发出错误;面对数据隐私法施加的审计和可能的苛刻财务处罚。

因此,重要的是花时间仔细审查您考虑的每个供应商。在您决定您可以使用的外部第三方,您必须拥有可靠和全面的审核过程。这就是良好的供应商合规计划的作用将会进入至关重要的戏剧。

组件

涉及网络安全时,创建供应商合规计划也可以称为“供应商网络风险管理框架”,或“VCRMF”。它应包括以下内容:

真,你可以在决定雇用第三方工作时决定你需要寻找你需要寻找的东西。但是,如果这是您第一次这样做,则强烈建议您利用已建立的模板,以便充分确保您拥有所有覆盖的所有基础。一个如此高度考虑的方法,您可以使用被称为“NIST网络安全框架”。NIST提供的模型已经列出了几乎立即使用的标准和最佳实践。它们还有一个确立的安全控制和风险管理工具列表,您不仅可以为您自己的业务实施,而且还可以为您的雇用第三方实施。您需要确保您的第三方供应商需要的关键认证是所谓的“ISO 27001.“。如果他们有这个名称,那么你可以放心,他们已经拥有强大的控件和程序,以保护自己的PII数据集。它只是意味着如果您交出的PII数据集即可尽可能安全。

当您开始制作VCRMF时,您有一个关于它的一部分,您可以检查您的潜在第三方是否已实现您的特定行业的全部遵守情况。例如,如果您是医疗组织,而且它们不仅会受到GDPR和CCPA的政策,而且也是HIPAA。启动此过程的好方法是通过详细的网络相关检查和平衡列表,您拥有和交叉,与您考虑聘用的第三方也已经到位。如果有任何差距差异,那么你知道现在是时候继续寻找新伙伴的时间。此外,在此审核过程中,您还需要了解是否已成为任何审计和/或罚款的主题。如果有的话,那么这也应该是一个红旗给你。

许多企业认为,一旦他们仔细筛选并从一开始就彻底审查了他们的外部,第三方,那么所有的工作都已完成。但这并非如此。在您建立的关系的过程中,工作动态可以改变,特别是从网络安全的角度变化。因此,确保您阐述的过程以确保您的第三方处于遵守级别,以至于您希望它们是迭代的。这只是意味着您有权在它们上执行随机审核,以确保仍然存在相同的安全协议和控件,就像您首次雇用它们时一样。请记住的关键点是,应在您与他们签名的合同中明确阐明进行这种审计的条款,只是为了避免任何潜在的误解。事实上,根据Garner最近的一项研究,在合同签署合同后,83%的网络安全风险升级,并开始工作。

资料来源:2)。

此外,由于与您的第三方供应商的关系开发,必须解决清晰的通信线。例如,如果他们被网络攻击击中,他们必须立即通知您,以便您可以采取措施减轻发生这种情况的风险。

结论

最后,当您开始雇用潜在的第三方供应商的过程时,确保您不会在每个细节中陷入困境,同样重要。是的,您必须详细履行尽职调查,但并不意味着您应该失去大多数最重要的内容:在此选择过程中保持您的使命关键流程尽可能顺利且有效地运行。

如果您对此完全讨论,则谨慎地致力于专门从事此类网络安全咨询公司,例如托管安全服务提供商(MSSP)。当您需要伪造调查工具中的黄金标准时,转向FTK产品系列。FTK产品组合将转换调查环境,使用户能够使用开创性工具,以便在处理和分析数据时可以获得更快的证据,并帮助发现更多相关的调查结果,同时了解可以锐焦和方向的连接。

来源

立即联系我们,了解有关我们产品和我们的产品
提高收集,分析和使用数据的方法。
告诉我更多