文章

廠商風險管理:定義和指引

廠商風險管理(Vendor Risk Management)是用於識別、評估、減輕、管理和監控與業務合作夥伴相關的風險的框架。其中包括:

  • 諮詢顧問
  • 承包商
  • 零售商
  • 製造商
  • 軟體即服務 (SaaS, Software as a Service) 供應商
  • 服務供應商
  • 供應商
  • 批發商

未能管理非員工身分存取可能會造成第三方安全漏洞風險。

這種威脅的規模使得廠商風險管理成為企業或機構安全計畫的關鍵部分。廠商風險管理重點在於確保將內部安全通訊協定擴展到能夠存取敏感資訊和資源的外部人員。它適用於許多業務領域,包括:

除了減輕對資訊安全和資料隱私的擔憂之外,廠商風險管理還有助於確實遵守法律和規章。這些法律要求組織確保廠商符合法規遵循要求,其中包括:

透過供應商風險管理(Vendor Risk Management),企業或機構能夠以系統化方式掌握並持續維持對合作對象的可視性,包括:合作對象是誰、合作方式為何,以及現行的安全控制措施有哪些。

舉例來說,這項管理程序也包含評估資料隱私機制與安全控制措施是否足夠完善。

廠商風險管理的重要性

隨著企業或機構採取措施來防堵安全漏洞,網路犯罪分子往往也會發現新的漏洞。而供應商風險管理正是一項能有效補強企業常見資安弱點的關鍵措施,有助於降低因第三方合作而產生的潛在風險。

許多企業合作的供應商,其資安基礎設施與作業流程往往無法與委託方企業同等水平。網路犯罪份子常常會利用這些第三方的弱點作為突破口,進而入侵企業系統

廠商風險管理很重要,因為它提供一個架構化的機制,協助識別並降低那些原本可能不被察覺的潛在威脅。

透過落實廠商風險管理計畫,企業能有效降低因供應商漏洞帶來的風險曝險程度。實施此類計畫的組織,不僅能強化整體資安防護水平,同時也能優化營運效率,提升供應鏈管理的成熟度。

廠商風險管理的優勢

廠商風險管理框架為組織提供許多好處,包括幫助企業或機構:

  • 因應不斷變化的業務需求
  • 遵守既定的安全標準以保護客戶資料
  • 將所有廠商相關資訊彙整到一個集中可存取的位置
  • 避免出現未預期的成本或法律責任
  • 落實合約條款
  • 確保遵守不斷更新的法規變動與資安標準
  • 評估安全措施並識別降低風險的機會
  • 協助控管預算並提升成本效益
  • 維持一致性的廠商作業流程與管理準則
  • 符合法規要求和稽核人員的期待
  • 供應鏈中斷的影響降至最低
  • 最佳化廠商盡職調查流程
  • 與適合的廠商合作
  • 保護企業的商譽以及與客戶的信任關係
  • 提供資料流動和存取的可視性
  • 精簡導入廠商的流程
  • 追蹤廠商問卷的進度
  • 長時間追蹤與廠商的紀錄,以評估廠商績效
  • 瞭解資料的流向、儲存的位置,以及如何管理資料的存取方式

廠商與第三方的比較

廠商和第三方經常被交替使用,但兩者並不完全相同。從高層次來說,所有的廠商都是第三方,但並非所有的第三方都是廠商。

廠商

第三方

為企業提供商品或服務的外部實體,例如:
– 清潔服務提供商
– 雲端服務提供商
– 製造商
– 金流處理商
– 原料提供商
– 供應商(例如公司制服、辦公設備、製造零件、食品)
– 網站代管提供商

包含廠商在內,還包括其他互動的外部單位,例如:
– 會計師和審計師
– 商業和管理顧問
– 顧問和承包商
– 客戶
– 律師事務所
– 行銷和廣告代理商
– 監管機關
– 學生和志工
– 創投家

廠商生命週期管理

廠商生命週期是廠商風險管理的關鍵部分,因為每個階段都可能潛藏不同程度的風險。在廠商風險管理計畫中必須考量各個階段中角色與關係的變化。在風險管理的架構下,廠商生命週期可劃分為六個階段。

第一階段:規劃

建立下列流程:

  • 定義對新廠商的需求
  • 評估廠商參與時的潛在風險
  • 擬定執行風險評估所需的工作項目、職責與作業流程
  • 制定管理引進廠商標準流程
  • 維護完整的廠商清單,並根據風險程度與關鍵性進行分級:
    • 高風險,高關鍵性
    • 高風險,中等關鍵性
    • 高風險,低關鍵性
    • 中等風險,高關鍵性
    • 中等風險,中等關鍵性
    • 中等風險,低關鍵性
    • 低風險,高關鍵性
    • 低風險,中等關鍵性
    • 低風險,低關鍵性
  • 建立良好的廠商溝通機制
  • 優化持續監控廠商關係的流程
  • 撰寫文件,記錄未來廠商遴選準則、供應商資料蒐集流程,以及後續報告機制

第二階段:廠商選擇

透過以下方式研究和評估廠商的風險狀況:

  • 提出與資料保護實務相關的問題
  • 獲得合規性認證和證明
  • 瞭解內部進行的安全訓練的類型和頻率,以降低風險
  • 確定廠商執行內部風險評估的頻率與方法

第三階段:合約談判

選定廠商後進入合約階段,包括起草詳細說明以下內容的合約:

  • 協議條款
  • 雙方的具體期望與義務
  • 職責劃分(例如服務等級協定 (SLA, Service-Level Agreement))
  • 報告機制與通報流程
  • 資料治理規範
  • 制定計畫以降低在選擇廠商過程中發現的任何風險
  • 災難復原規劃
  • 稽核機制與準則

第四階段:導入廠商

導入廠商流程的關鍵部分包括:

  • 使供應商能順利接入所需的內部網路與系統
  • 建立完整的廠商檔案與資訊紀錄
  • 將廠商納入組織的作業流程中
  • 根據廠商所需的資料定義並實施存取控制

第五階段:持續監控

當廠商風險管理計畫啟動時,應建立可持續蒐集資料的系統,這些資料可用於確保廠商符合績效、合規性和安全性的要求。根據所蒐集資料,持續進行調整與優化,以提升整體供應商管理效能。

第六階段:廠商結案

廠商管理生命週期的最後重要階段是廠商結案。在這個流程中,應確保妥善保存或處理雙方共享的資料,並審查合約以確保已履行所有義務。

廠商風險管理成熟度

廠商風險管理成熟度模型用於評估組織的第三方風險管理計畫的成熟度,並比對完整的最佳實務標準。這個成熟度評估包括對企業或機構的網路安全、IT 基礎設施、資料安全和網路韌性等多個面向。

廠商風險管理成熟度模型的核心構成要素包括:

  • 計畫治理
  • 政策、標準與作業程序
  • 合約管理與條款監督
  • 廠商風險識別與分析
  • 技能和專業知識
  • 溝通與資訊共享
  • 工具、測量和分析
  • 持續監控和審查

企業可透過此成熟度模型,建立初期計畫的基準點,並逐步訂定中長期發展目標。

應用成熟度模型不僅能協助組織量身打造最符合當前需求的供應商風險管理計畫,更能規劃出優化與擴展的清晰路徑。

廠商風險管理成熟度模型的五大等級:

  1. 初始階段
    尚未建立任何正式的廠商風險管理實務或制度。
  2. 起步階段
    僅進行零星、臨時性的廠商風險管理活動,並開始考慮導入正式的管理計畫。
  3. 建立與規劃階段
    已規劃並核准一套較為完整的廠商風險管理計畫,並開始定期執行相關作業,但尚未全面落實,缺乏強制執行與績效衡量機制。
  4. 實施階段
    供應商風險管理計畫已全面運作,並建置了用於資料收集與績效分析的系統,能支持風險監控與報告。
  5. 優化與調整階段
    計畫完全上線後,透過各項量化指標來識別潛在改進區塊,並持續優化流程與策略,以達到最佳風險降低成效。

廠商風險管理評估

廠商風險管理評估應評估常見的廠商風險類型,並包括企業所屬產業或特定業務中獨有的其他風險因素。

合規風險
合規風險也稱為法規風險,是指當企業或機構不符合法律、產業實務或規章(例如 GDPR、PCI DSS(支付卡產業資料安全標準)、HIPAA)規定的要求時所面臨的風險。

網路安全風險
廠商安全基礎設施或流程中的任何漏洞都可能使企業或機構面臨網路攻擊的風險,這些攻擊可能會引發連鎖性的風險。

財務風險
財務風險可能來自於網路攻擊,或廠商遇到財務困難而導致產品交付或服務中斷而造成的損失。

營運風險
未能制定可靠的業務連續性計畫可能會導致營運風險,服務或產品的交付可能會中斷,並對企業或機構的營運產生負面影響。

商譽風險
當事件損害企業聲譽、引發消費者或市場信任危機時,即構成此類風險。

建立風險管理檢查清單

有效的廠商風險管理計畫結合檢查清單來評估績效並識別弱點。廠商風險管理檢查清單列出應收集和管理的資訊,包括:

  • 現行合作廠商名單
  • 廠商導入與終止合作流程
  • 廠商風險評估
  • 各廠商的績效要求和指標
  • 確保廠商接受評估並承擔責任的應變流程
  • 在風險評估中發現高風險問題時的應對計畫
  • 每個廠商帶來的風險類型及其所處的風險等級
  • 持續監控系統
  • 廠商生命週期管理流程
  • 廠商管理政策
  • 廠商風險管理的角色與責任

定廠商風險管理策略

廠商風險管理策略會因企業機構和生態系統中的風險類型而有所不同。但大多數策略都包括以下幾個核心功能和組成項目。

廠商名錄

  • 建立合作的廠商目錄
  • 根據廠商的組織結構(例如母公司、子公司、孫公司)記錄廠商
  • 記錄聯繫窗口的詳細資訊,與對應的業務單位
  • 瞭解廠商的潛在風險因素
  • 根據廠商帶來的風險程度進行優先排序

活動追蹤

應記錄並追蹤以下內容:

  • 廠商根據合約需要交付的產品和服務
  • 廠商的產品和服務支援的業務流程
  • 合約、協議和其他約定細節的條款

績效監控

需要建立系統和流程來記錄和追蹤:

  • 對廠商產品和服務的預期目標
  • 與衡量績效相關的方法和指標
  • 產品或服務表現不佳或未能達到預期後果的機制

風險評估與管理

  • 列舉具體風險,例如客戶資料外洩 、違反法規遵循、客戶或股東訴訟或財務損失
  • 制定標準化廠商風險評估流程
  • 優化風險識別和處理的時間

廠商盡職調查問卷

廠商風險管理問卷可協助企業或機構評估新合作夥伴、評估其安全狀況並識別潛在的弱點。常見的標準化廠商風險管理問卷涵蓋以下關鍵領域:

  • 網路安全風險
    • 是否收集、儲存或傳輸個人可識別資訊 (PII, Personally Identifiable Information)?
    • 是否監控連接到系統、軟體和網路的所有裝置?
    • 是否擁有任何業界標準認證?
  • 技術控制
    • 是否使用防火牆?
    • 是否在所有裝置上安裝反惡意軟體和反勒索軟體?
    • 是否為系統、網路和軟體定期安裝安全性修補程式?
  • 流程控制
    • 是否持續監控內部的控制措施以防止網路攻擊?
    • 是否有事件應變計畫?
    • 是否建立處理新興風險的流程?

廠商的持續監控

  • 審查廠商的財務報
  • 進行定期廠商審核
  • 定期請求和評估廠商的服務組織控制 (SOC, System and Organization Controls) 報告、業務連續性計畫、災難復原計畫和安全文件
  • 評估法規遵循合規性

如何評估廠商風險管理效能的方法

為了衡量廠商風險管理計畫的成效,必須建立標準。常用的關鍵指標包括:

  • 廠商風險管理成本
  • 已識別的風險及其在風險補救流程中所處的階段
  • 與企業或機構及其他關係的風險記錄
  • 所有廠商風險評估的狀態
  • 廠商合約的狀態 – 有效、即將到期、已到期
  • 花在廠商風險管理計畫上的時間(例如,導入廠商、審查、監控、合規性檢查)
  • 偵測風險所需的時間
  • 完成降低風險所需的時間
  • 關鍵風險類別(例如營運、合規性和法律、商譽、財務、網路安全、策略)中的廠商

廠商風險管理的最佳實務

為確保廠商風險管理計畫的成功,公認的最佳實務包括:

  • 對廠商進行分類並定義其風險(例如營運、合規性、商譽)
  • 與高階管理層溝通廠商風險管理計畫
  • 在簽訂合約之前,對廠商的風險管理實務進行徹底審查
  • 持續維護和更新廠商名單
  • 建立完整的廠商名單,並花時間將其與應付帳款名單進行交叉檢查
  • 透過一致的合規性和安全培訓來教育員工和廠商
  • 確保廠商合約明確規定雙方同意的安全標準和義務
  • 制定政策,以保持關注法規更新並確保持續合規
  • 請記得監控第四方廠商
  • 要求廠商填寫安全問卷

自動化廠商風險管理

自動化廠商風險管理可減輕企業或機構的沉重負擔。自動化廠商風險管理的解決方案通常是基於網路的應用程式。這些解決方案使企業或機構能夠從一個集中位置管理廠商風險管理的各個方面,並透過自動化來簡化關鍵流程和任務,例如:

  • 廠商記錄管理
  • 合約管理
  • 廠商風險評估
  • 廠商存取追蹤
  • 持續風險監控
  • 報告
  • 工作流程整合

透過自動化改善的廠商風險管理包括以下重要領域。

評估廠商風險,包括定期審查:

  • 暗網調查結果
  • 基礎設施和網路安全
  • 安全評等
  • 威脅情報資料
  • 網路應用程式安全

透過以下方式幫助問卷管理:

  • 問卷狀態追蹤與報告
  • 已完成問卷的託管存放庫
  • 問卷驗證

自動化廠商風險管理提供許多好處,包括:

  • 評估廠商風險
    有助於收集和分析有關廠商安全狀況、財務穩定性和商業實務的資訊
  • 增強可視性
    將所有相關資訊整合到一個軟體應用程式中,提供所有資料的統一視圖(例如合約、合規性、安全性、風險、威脅)
  • 加速推進關鍵任務,例如 :
    • 持續監控
    • 廠商存取追蹤
    • 廠商審查
  • 促進協作
    授予團隊存取共用系統的權限,使訊息共享變得更容易
  • 提高精準性
    減少對容易出錯的手動流程的依賴
  • 提高效率
    減少收集、儲存和分析資料所需的時間和資源
  • 監控風險
    允許組織即時監控廠商並識別潛在風險
  • 簡化報告
    建立一系列隨時可用的報告,提供對廠商風險狀況的洞見,並幫助追蹤風險和風險緩解活動以及合規狀態
  • 簡化合約管理
    提供用於儲存和管理廠商合約和服務等級協議的集中存放庫

廠商風險管理解決方案相關的挑戰與限制

廠商風險管理對於企業安全非常重要。但廠商風險管理解決方案很難滿足包括廠商在內的非員工的細微安全需求。廠商管理系統面臨的挑戰與限制如下。

  • 基於假設第三方廠商只有單一的合約或管理點,不適合儲存廠商個別人員的資訊,更無法因應其角色或報告線變動(如職位異動、部門調整)帶來的風險差異
  • 專為管理臨時員工和第三方廠商而設計,無法成為生態系統中多元角色(例如,獨立承包商和學生實習生)的有效記錄系統
  • 依靠固定的工作流程來協調採購和付款流程,若要調整或客製工作流程,需額外投入大量資源進行開發與維護,靈活性不足
  • 風險評估僅限於供應商層級

透過廠商風險管理獲得廠商效益管理

強而有力的廠商風險管理 應該是企業的優先事項。無論規模大小,企業或機構都可能成為網路犯罪分子的攻擊目標。廠商風險管理計畫透過防堵外部漏洞來幫助企業阻止威脅,進而防止未經授權存取敏感資訊和系統。

廠商風險管理提供框架、系統和流程,幫助任何企業機構在不影響安全性的情況下獲得外部資源提供的好處。追蹤關鍵績效指標 (KPI) 和關鍵風險指標 (KRI) 的企業機構,即可具體驗證廠商風險管理計畫所帶來的價值與效能。


Date: May 21, 2025Reading time: 5 minutes
Access Management