文章

什麼是第三方風險管理 (TPRM)?

第三方風險管理 (Third-party risk management, TPRM) 是指組織針對外部業務合作夥伴與廠商(包括廠商、合作夥伴、服務提供者、供應商及承包商)所進行的風險識別、評估與控管流程。它將風險管理的範疇從組織內部使用者延伸至整個生態系統,涵蓋所有可能存在漏洞的環節,貫穿所有使用者的整個生命週期。

瞭解如何針對非員工實施風險型身分存取與生命週期策略。

第三方風險管理透過對所有可能成為或變成威脅向量(Threat Vector)的實體套用治理原則,提高對潛在網路威脅的可視性,進而有助於降低風險並防止攻擊。它包括檢查並要求緩解第三方風險的流程和程序。

值得注意的是,第三方風險管理所應對的威脅不僅限於網路安全(Cybersecurity) ,還包括其他可能對組織造成損害的漏洞,例如勞工問題、不遵守法律法規,以及稽核缺失。雖然這些威脅與網路攻擊者構成的威脅截然不同,它們仍可能對組織造成重大負面影響,甚至導致嚴重損害。

為什麼第三方風險管理很重要

數位轉型以及企業日益仰賴第三方進行業務運作,使第三方風險管理的重要性大幅提升,因為這些變化顯著增加企業所連接的外部實體數量。從供應鏈相關的廠商與合作夥伴,到雲端服務提供者與軟體即服務 (SaaS , Software as a Service) 解決方案,第三方風險管理對於保護組織免受網路威脅至關重要。

第三方風險管理有助於確保這個不斷發展的生態系統的可持續性與安全性。第三方風險管理至關重要的原因有很多,其中包括:

  • 遵守法律、規章與標準
  • 緩解營運中斷
  • 自然災害應急計畫
  • 資料保護
  • 財務健康
  • 保護 IT 與實體安全系統及流程
  • 針對地緣政治問題與危機(例如戰爭、內亂)時所制定的營運持續計畫
  • 確保業務和供應鏈的連續性
  • 維護聲譽和品牌形象

來自第三方的風險

第三方對組織構成風險的方式有很多。在某些情況下,風險可能僅限於單一領域,例如違反法規遵循。然而,大多數情況下,多個領域都會受到影響。

任何組織都有可能成為網路攻擊的受害者,但攻擊者往往會鎖定那些安全防護廣度與深度不如目標組織的第三方。

一旦第三方遭到入侵,攻擊者便可利用其做為跳板,進一步滲透至更高價值的目標。

資料外洩(Data Breach)為例,它涵蓋多種風險類別,包括違反法規遵循、財務損失、聲譽受損以及業務中斷。一些第三方風險可能會以多種方式影響企業。

資料外洩是橫跨多個風險類別的例子。其根本原因通常是由網路安全漏洞引起的,其風險涉及以下幾個領域:

  • 監管法遵 缺乏第三方安全控管可能導致違反規章,或使第三方無法符合監管法遵要求。當服務、產品或流程未達法律、法規、規章、政策或道德標準所規定的最低要求時,即構成法規遵循風險。
  • 財務 第三方對組織財務狀況造成的潛在損害構成財務風險。這類風險可能是任何形式,從第三方交付品質不佳的成品,到生產出有缺陷的元件供組織使用。財務風險可能是罰款或法律費用。
  • 營運 營運風險與第三方因為人員、流程或系統故障或不足而導致營運停止有關。此外,若第三方未對天然災害做好準備,也可能引發營運風險。
  • 聲譽 聲譽風險可能與許多活動或行為有關,當這些活動或行為因組織與第三方的關係而引發負面輿論,並波及到該組織時,即構成聲譽風險。這可能包括法律問題、資料外洩(Data Breach)、負面的客戶體驗,以及違反法規遵循所造成的後果。
  • 交易 第三方在交付服務或產品時若出現問題,可能會產生交易風險。當第三方因能力不足、技術問題或人為錯誤而未能如預期履行職責時,也可能導致交易風險。

第三方風險管理的好處

  • 能夠監控服務水準、效能、財務狀況與安全態勢
  • 取得更多資訊,以提升並加速決策效率
  • 透過為組織提供有價值的洞見與資料,來提升組織的決策品質
  • 確保第三方聘用具有適當技能與資格認證的資源
  • 遵循規章要求
  • 控制第三方對網路、應用程式與敏感資料的存取權限
  • 增強對第三方風險因素的可視性與監督
  • 風險管理促進透明度和問責制,進而提高廠商績效
  • 詐騙偵測與預防
  • 利害關係人(包括投資者、監管機構和與商業合作夥伴)的信心

第三方風險管理流程

第三方風險管理的流程圍繞著每個第三方的生命週期展開。以下是從開始合作到結束合作為止各階段的重點考量,用以指導第三方風險管理與治理。

建立第三方風險衡量系統,以指導對潛在第三方關係的盡職調查。該策略旨在根據組織在各個領域(包括安全、隱私和災難復原系統)可接受的風險等級,來衡量潛在風險。在此階段,建立風險基準值。

瞭解與特定任務或職能相關的第三方參與風險,並使用風險衡量工具來評估其風險狀況並進行風險評分。此階段的第三方風險管理通常透過要求第三方填寫問卷、查閱廠商情報資料庫,或兩者結合的方式進行。在評估過程中,務必將第三方為確保業務連續性而依賴的任何分包商和其他外包職能納入考慮。

根據風險評分對第三方及其所需存取權限進行分類。應建立一份完整的清單,其中列出所有第三方(包括非員工)、其風險評分,以及他們執行指定任務所需存取的資訊。

第三方風險管理解決方案通常會與資料治理解決方案搭配使用。這有助於整理第三方資料、標記潛在問題,並確保遵守相關法規與主要資安框架,例如國際標準化組織 (ISO)、美國國家標準與技術研究所 (NIST),或服務組織控制標準第二類 (SOC 2)。

在完成風險評估後再進行引入廠商。引入廠商流程的一部分應包含合約中的風險條件,明確規定廠商將如何確保相關防護措施到位,以因應潛在風險。

持續監控和稽核廠商。由於第三方的系統、流程與行為可能會改變並引入新的風險,因此定期進行風險評估與持續監控至關重要。第三方風險管理解決方案有助於自動化大部分流程,透過外部持續的第三方情報來源,將評估回覆與外部觀察結果進行比對驗證。這些情報來源包括:

  • 網路情報
  • 業務更新
  • 財務報告
  • 媒體篩選
  • 全球制裁名單
  • 國營企業篩選
  • 政治公眾人物篩選
  • 違規事件通知

應制定事件應變與應急計畫,以確保在第三方合作關係失效或終止時,業務能持續運作。

服務等級協定 (Service level agreement, SLA) 與績效監督指標可透過第三方風險管理解決方案進行管理。其功能包括評估與監控,以確認第三方是否履行其在績效與合規方面的義務。

離場與終止合作,但常常被忽略。第三方風險管理流程可確保在結束第三方合作時進行完整的評估。這包括從檢視交付成果是否符合合約、結清帳款,到撤除其對系統、資料、應用程式及建築物的存取權限等各項措施。

對每個新的第三方重複執行此流程。第三方風險管理是一項持續性的工作,必須在所有第三方的整個合作期間中執行。

持續改進。根據過往經驗、新興威脅以及法規環境的變化,定期審查並改進組織的第三方風險管理計畫。持續掌握業界最佳實務並據此調整相關流程,是確保風險管理有效性的關鍵。

第三方廠商管理

第三方風險管理需要對整體生態系有深入的理解。第三方廠商的類型多樣,包括雲端託管服務提供者、雲端/SaaS(軟體即服務 , Software as a Service) 軟體解決方案、業務合作夥伴、供應商、承包商、臨時人員、仲介機構,以及各類專業服務提供者,例如稅務顧問、會計師、顧問與律師等。

有效的第三方風險管理解決方案透過提供以下功能來發揮效益

  • 集中掌握所有第三方關係與合約的可視性
  • 與風險管理和緩解相關的合約條款與規定
  • 識別並評估第四方(即下游廠商、供應商、承包商)
  • 在第三方引入前的評估流程
  • 支援第三方離場
  • 第三方風險的監督與監控

評估第三方

對第三方的評估應維持在整個合作期間,但在引入前應進行深入的成效評估。評估第三方時應考慮以下問題,並可將其回答整理至第三方風險管理系統中。

  • 第三方可存取的資料與應用程式類型為何?
  • 第三方是否僅存取執行其任務所需的資訊?
  • 第三方是否可以實際進入建築物和儲存區域?
  • 如果第三方的可用性受到損害,會發生什麼情況?
  • 第三方取得的資訊外洩,會對組織產生什麼影響?
  • 有哪些政策、程序與流程來保護第三方存取的資料?
  • 雲端服務與應用程式供應商的安全架構是否符合法遵規定?
  • 第三方是否已建立定期進行安全測試與稽核的流程?
  • 第三方是否有任何監管法遵的驗證,例如服務組織控制 (Service Organization Controls, SOC) 報告或支付卡產業資料安全標準 (Payment Card Industry Data Security Standard, PCI DSS) 第一級認證?
  • 第三方支援哪些規章標準?
  • 第三方是否與其下游廠商訂有規範安全、隱私與韌性條款的合約?
  • 第三方是否具備災難復原與營運持續計畫?
  • 第三方是否具備適當的政策與程序,以確保所有屬於組織的資產與資料能安全歸還?

建議第三方廠商提供的文件包括:

  • 第三方廠商領導團隊的資格與經驗詳細資訊
  • 雇用政策,尤其是涉及處理敏感資料的員工
  • 財務健康資訊,例如經稽核的財務報表、年度報告,以及美國證券交易委員會 (SEC) 申報文件
  • 有關服務與品質標準的資訊
  • 第三方廠商所使用的其他合作方或分包商清單
  • 因應突發中斷事件的服務恢復計畫
  • 執行並監控所提活動的能力證明
  • 與重大申訴、訴訟或主管機關對第三方廠商採取行動相關的記錄
  • 為確保資料安全與隱私保護所涵蓋的內部控制與系統範疇,以及稽核覆蓋範圍

第三方風險管理挑戰

常見的第三方風險管理挑戰包括:

  • 執行第三方盡職調查繁瑣且複雜
  • 難以編制和維護完整的第三方清單
  • 難以管理與問題相關的溝通
  • 引入新的第三方廠商十分耗時,因為需要與內部及外部利害關係人協同合作
  • 為遵守多樣且繁多的法規遵循要求,監管法規日益增加
  • 缺乏專門投入於第三方風險管理的資源
  • 對政策的認知與訓練有限甚至完全缺乏
  • 需要持續監控與評估多個流程
  • 非結構化的第三方監控流程
  • 若以試算表與問卷手動執行,此項任務將極度耗費資源且難以擴展
  • 在與位於不同國家或文化背景的第三方合作時,可能會出現文化與溝通上的差異
  • 風險情勢是動態的,並且不斷演變

第三方風險管理平台

市面上有多種類型的第三方風險管理平台,可因應各組織的特定需求,從通用型到特定產業專屬的解決方案皆有。第三方風險管理平台主要用於評估、監控、報告及修正第三方風險。

第三方風險管理平台提供的主要功能包括:

  • 做為第三方風險管理的記錄系統
  • 自動化工作流程
  • 與風險領域專屬的資料與洞察服務進行整合

第三方風險管理平台常見問答集

什麼是第三方管理解決方案? 這些是用於自動化第三方風險管理流程或功能的技術與系統。第三方風險管理解決方案可部署於本地端,或以企業級 SaaS 平台形式提供。

什麼是安全評級服務 (security rating services, SRS)? 這些是第三方風險管理解決方案使用的訂閱服務,可提供用於風險分析與評分的資料。

在引入第三方風險管理平台時,應考量的主要利害關係人有哪些? 內部利害關係人包括高階主管(例如 CEO、CFO、CIO、COO、CISO)、總法律顧問、董事會成員、內部稽核人員,以及相關部門主管。外部利害關係人包括廠商、合作夥伴、監管機構與客戶。

第三方風險管理應該被列為優先事項嗎? 是的,隨著威脅情勢不斷增長且日益複雜,第三方風險管理必須被列為優先事項。其優先程度則取決於組織生態系中第三方的數量與類型。

第三方風險管理平台所追蹤的廠商與合作夥伴有哪些範例?

  • 雲端服務供應商(Cloud service providers)
  • 財務管理服務
  • IT 管理服務
  • 薪資服務供應商
  • 軟體廠商
  • 人力派遣機構
  • 供應商與承包商
  • 稅務專業人士
  • 行銷和廣告代理商
  • 附屬醫師、巡迴護理師、學生與志工
  • 併購目標
  • 通路合作夥伴與轉售商

什麼是第三方法規遵循? 第三方法規遵循可確保第三方遵守由組織、標準機構及政府所制定的規章制度。

第三方風險管理促成共同成功

落實第三方風險管理的原則能為所有相關方帶來效益。它能主動識別可提前緩解的弱點,避免漏洞演變成真正的風險問題。推動有效的第三方風險管理所投入的努力,不僅能將發生不利結果降至最低,還能提升效率與生產力。

日期: 2025年11月4日閱讀時間:4 分鐘
第三方風險

立即開始

瞭解 SailPoint 身分安全能為貴組織帶來哪些改變

要在不影響生產力或創新能力的前提下保障資源存取安全,可謂一大挑戰,瞭解我們的解決方案如何支援當今現代企業因應這項挑戰。

申請產品示範聯絡我們