风险管理视角之第三方风险管理

在践行第三方风险管理的时候，组织可以通过设定一个checklist表格或问卷来帮助充分了解和评估组织在第三方风险管理方面的现状和问题。Checklist的调查内容通常包括如下：

• 当前的建设发展和运行阶段需要怎样的第三方进行参与和合作?
• 是否已建立TPRM程序?
• 是否已建立第三方列表和资料库?
• 是否已了解第三方的市场经营、财务状况、服务能力、研发能力以及市场声誉等背景情况?
• 第三方是否经历过安全事件、事件严重程度如何、其响应速度和处置效果如何?
• 第三方是否清晰知晓组织的安全管理策略与要求?
• 第三方是否清晰知晓相应的合规监管要求?
• 第三方是否建立自有的安全策略和安全程序?
• 第三方的安全管理是否满足合规以及内部的要求?
• 第三方是否拥有并提供充足的受到良好训练的人员?
• 第三方提供的产品/服务的价值如何，是否满足要求?
• 是否了解哪些敏感信息因为和第三方合作而可能被访问和使用?
• 是否对第三方的接入提供可控的物理和网络接入环境?
• 是否有充足的技术措施以控制第三方对敏感信息的访问、使用?
• 是否具备有效的监督管理机制和技术监控措施实现对第三方的持续监控管理?
• 对第三方的审计评估是否由独立的审计部门完成?
• 合同中是否涵盖了信息安全要求、SLA要求、KPI考核、风险和法律承担义务等要求?
• 合同的签署是否得到了内部使用部门、安全部门和法务部门的审核和确认?

四、结束语

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!