サードパーティーの製品やサービスは事业の运営に不可欠です。组织はコスト削减によるソリューションの最适化に依存するところが大きく、そのために外部エキスパートが必要になります。サードパーティーの组织は製品/サービスの迅速なデリバリ、コンプライアンス要件の遵守、组织の全体的な业绩向上を约束します。
さまざまな业务の运営にサードパーティーを导入する理由として以下が挙げられます。
事业の运営に自社以外の组织が関与すると、胁威やリスクにさらされる机会が拡大します。サードパーティーの関与から生じる胁威に対して、公司はその资产に対するリスク管理アプローチを採用する必要があります。
このリスクを缓和しなければ、以下のような结果を招きかねません。
サードパーティー组织に対するリスク缓和戦略の策定は非常に手间のかかる仕事です。リスクの特定/缓和には実绩ある自动化されたリスク管理プログラムが必要です。このプログラムは内部のアプリケーション/サービス、および外部のツール/サービスの両方に利用できます。
次に、サードパーティー?リスクを特定、评価、缓和するためのアプローチを検讨していきましょう。
业务の范囲に応じて、サードパーティーのツールやサービスはさまざまなシステム、リソース、ネットワーク、アプライアンス、アプリケーションデータ(保存データまたは移动中のデータ)へのアクセスを许可されます。アクセスにはリスクの可能性が伴います。このような场合のセキュリティリスクの判定は厄介です。
サードパーティーの関与から生じる组织のセキュリティリスクを特定するために推奨されるベストプラクティスの概要を以下に示します。
リスクを包括的に缓和するには、评価のステップが重要です。このステップでは、リスクに优先顺位を付けて精査し、时间?コスト面で効果的な方法で缓和します。リスク管理プログラムの成果をあげるには、各セキュリティリスクの(事业への影响に基づく)评価を考虑することが不可欠です。
サードパーティー?セキュリティ?リスクを评価する最适な方法を以下に示します。
脆弱性の特定と评価には缓和戦略も必要です。この戦略を用いて、特定したリスクの重大性を低减および是正します。
以下の対策を実践すれば、サードパーティーによってもたらされる胁威やリスクの缓和?防止に役立ちます。
サードパーティーのアクティビティを管理する総合的なプログラムを実装してください。自动化されたスケーラブルなリスク管理プログラムをまだ活用していない组织は、これを活用し、サードパーティーの胁威とリスクの特定を継続的に行う必要があります。事业に対するリスクを评価し、最终的にはセキュリティ対策を実装してリスクを缓和します。サードパーティー资产を监视する机能を备えて、コンプライアンス违反、非伦理的プラクティス、システムやリソースの露出、法律违反、机密データへのアクセスなどから生じたリスクを组织が検出して缓和できる体制を整えます。
以上の推奨事项に従うことにより、サードパーティー?アクティビティのリスク、パフォーマンス、コンプライアンスの可视性が向上するとともに、无駄と非効率も低减します。