管理第三方资产
TPRM 环境通常包含多个第三方。可以使用第三方资产库存来加载和管理第三方的生命周期、启动评估,以及计算重要性级别和风险分数。此外,可以使用风险评分和发现来确定任务的优先级,并识别和补救潜在风险。
各种元素的组合有助于设置一个牢靠的 TPRM 框架。第三方资产库存是这个框架的一个关键部分,它与许多基本元素一起工作。
TPRM 资产库存中的元素
第三方资产库存中的支持元素主要包括涉及的第三方、用户、生命周期的工作流状态,以及评估。所有这些元素在资产库存中以不同的属性表示,以收集针对第三方的信息。在第三方风险管理中收集并更新所有这些必需的信息后,可以开始监控和评估不同的第三方,并迅速消除风险。
展示更多
| TPRM 元素 | 描述 | 示例 |
|---|---|---|
| 资产 | 表示正在评估的第三方。 | 产品、供应商、合作伙伴和服务提供商 |
| 用户 | 将角色分配给用户,以拥有、启动、执行、监控和完成第三方生命周期。 | 风险经理、业务所有者、第三方所有者 |
| 工作流状态 | 第三方生命周期的不同阶段,用户在其中丰富属性、触发评估、计算风险评级和审查结果。 |
草稿、已注册、已分类、活动、存档 |
| 评估 | 发送给用户以收集响应的调查问卷,有助于计算重要性级别或风险评分。 |
分类评估(SIG Lite 或 CAIQ Lite) |
工作原理
第三方风险管理工作流主要在资产库存应用程序中进行:
- 创建第三方资产将第三方资产添加到资产库存中。
- 注册第三方为您的资产添加重要详细信息,以便为风险评估流程做好准备。
- 将第三方分类使用自动化重要性评估来确定第三方的优先级,确定对组织至关重要的第三方。
- 评估风险水平使用自动化标准风险评估(SIG-Lite 或 CAIQ-Lite)来评估第三方风险,并创建要解决的发现。
- 激活第三方批准并激活第三方,这样就可以开始缓解与之相关的风险。
- 使用机器人将资产和记录数据导入到结果应用程序中使用工作流机器人将资产和记录数据导入到结果应用程序中在机器人中,您还可以管理导入设置;例如,可以将工作流机器人设置为每天的同一时间导入数据。
- 查看资产和记录数据在结果应用程序的专用表格中查看导入的数据,以便监控风险缓解工作并确定剩余的操作项。
- 第三方存档如果需要,可以将第三方存档,这样仍然可以保留与之相关的信息记录,但您知道不必再为其降低风险。
1. 创建第三方资产
在第三方风险管理中,第三方作为资产进行标识和管理。对于评估的每个第三方,必须将其作为资产输入资产库存。
添加第三方后,它将进入草稿工作流状态。
举例说明
场景
您的组织与 5 个第三方合作,作为风险经理,您需要将所有第三方添加到第三方风险管理以开始它们的生命周期管理。
添加第三方的步骤
首先,在第三方风险管理中将所有 5 个第三方创建为资产,为每个被评估的第三方分别创建一个。对于添加的每个第三方:
- 在资产库存中,单击第三方资产类型,然后单击添加第三方。
- 在添加第三方对话框中,输入第三方的名称,然后单击添加。
有关详细步骤,请参阅使用资产。
结果
添加第三方资产后,将显示资产详细信息页面,您可以继续执行工作流的其余部分。回到第三方资产库存仪表盘时,可以看到组织的所有第三方并查看它们的相关详细信息。
注册和分类有助于确定第三方任务的优先级并补救其相关联的风险。
2. 注册第三方
注册第三方资产时,需要添加更多的关键详细信息,以便将其推进到资产生命周期中的下一个工作流状态。可以在详细信息选项卡上查看和编辑资产的属性。注册第三方资产必须提供以下属性:
- 业务所有者负责与第三方资产对应的所有信息的用户。例如,来自特定部门或采购团队的负责第三方资产的主要业务联系人。
- 风险经理负责通过分析评估响应和记录来推进第三方生命周期的用户。例如,组织中的 TPRM 分析师。
- 第三方类型指定资产是第三方产品还是服务。例如,云服务订阅可以是服务,而本地部署用户访问控制系统可以是产品。
- 第三方描述第三方资产的简要描述。
要注册第三方资产:
- 输入上述必须属性和任何其他适用属性的值,并单击保存更改。
-
在页面顶部可用的可视化工作流中,选择草稿 > 注册或操作 > 注册。
结果第三方风险管理验证第三方资产是否具有所有必须值,并将其移到已注册状态。
3. 对第三方进行分类
对第三方进行分类涉及评估第三方对组织的重要性影响,并为其分配重要性级别。为第三方分配正确的重要性级别非常重要,因为它定义了与此资产维护相关的活动必须进行的审查和尽职调查的数量。
什么是重要性级别?
重要性级别表示与第三方相关的风险可能对您的业务产生的影响程度。各种因素在确定第三方的重要性级别时发挥着作用,例如访问敏感信息(包括客户详细信息)、业务中断、财务重要性和声誉。
第三方风险管理中可用的重要性级别为:
- 关键
- 高
- 中
- 低
示例
下表显示了分配给与电子商务公司合作的不同第三方的重要性级别示例。
| 第三方 | 业务重要性方面 | 重要性级别 |
|---|---|---|
| 支付网关服务 | 出问题肯定会中断业务 | 关键 |
| 交易计费服务 | 出问题可能中断业务 | 高 |
| CRM 服务 | 出问题不会中断业务,但会降低客户满意度 | 中 |
| 办公文具 | 出问题不会中断业务,也不会带来其他直接风险 | 低 |
用于对第三方资产进行分类的必须属性是第三方重要性级别。
可以使用组织的内部评估度量并为第三方分配重要性级别,也可以使用解决方案提供的分类评估。
通过分类评估确定重要性级别
有关通过分类评估确定重要性级别的更多信息,请参阅第三方资产的评估评分。
可以通过在可视化工作流中选择已注册 > 分类,或从页面右上角选择操作 > 分类来启动分类流程。第三方的状态更改为等待分类。分配了重要性级别(手动或通过分类评估)后,保存详细信息并选择批准。第三方资产移到已分类状态。
举一个第三方资产分类的例子
场景
您已经注册了 5 个第三方资产,现在要对它们进行分类。使用内部度量和计算,您可以为 4 个第三方分配重要性级别。您注意到,由于缺少信息,尚未评估其中一个第三方的重要性级别。您决定使用解决方案中提供的分类评估。
第三方资产的分类步骤
对于您为其输入重要性级别的 4 个第三方资产,请打开相应的资产详细信息页面。在详细信息选项卡上,在重要性级别字段中选择适当的级别。保存详细信息,然后选择等待分类 > 批准。
对于要确定其重要性级别的第三方,打开资产详细信息页面,然后选择等待分类 > 启动分类评估。在发送调查问卷面板中,输入可以输入必填信息的人员(通常是第三方资产的业务所有者)的姓名或电子邮件地址。当他们提交响应后,Diligent One 会计算重要性级别并自动分配给第三方资产。确认分数,然后选择等待分类 > 审批。
结果
第三方资产现已根据重要性级别进行了分类,并移到已分类状态。现在,可以根据重要性级别为第三方确定任务的优先级,并继续评估风险。
跳过低重要性资产的风险评估
在某些情况下,可能有重要性低的第三方(例如提供办公文具的供应商),您不想花时间评估与这些资产相关的风险。在这种情况下,在对第三方资产进行分类之后,可以跳过风险评估步骤。
显示操作方法
要跳过风险评估流程:
-
从可视化工作流中选择已分类 > 审阅或操作 > 审核。
第三方资产移到待审核状态。
- 在详细信息选项卡上,在总体风险评级和评级依据字段中提供值,然后单击保存更改。
-
选择待审核 > 激活。
第三方资产移到激活状态。
一旦激活,如果要在任何时间点评估第三方的风险,可以使用(可选)重新评估第三方工作流。
4. 评估风险等级
风险评估对于识别与第三方相关的风险至关重要。可以为第三方生成风险评估,并将其分发给确定的响应者,通常是第三方所有者。响应者提交响应之后,Diligent One 会计算风险评分和级别,并将这些信息自动填充到 SIG/CAIQ Lite 风险级别和风险评分字段。可以使用这些风险评分来识别风险、创建补救计划,以及继续或终止第三方的服务。
生成风险评估
第三方风险管理支持两种评估模型:SIG Lite 和 CAIQ Lite。可以根据组织订阅的第三方风险管理工具包的版本生成其中一个评估。
要生成风险评估,请选择可视化工作流中的已分类 > 风险评估,或操作 > 风险评估。第三方风险管理生成风险评估,第三方进入等待评估状态。
可以进一步将此评估分发给相应的第三方所有者。
为风险评估收集响应
生成风险评估后,必须将其分发给第三方所有者以收集响应。
要将风险评估发送给第三方所有者,请在可视化工作流中选择等待评估 > 启动风险评估,或选择操作 > 启动风险评估。在发送调查问卷面板中,选择要发送的调查问卷,输入可以输入所需信息的人员(通常是第三方资产的第三方所有者)的姓名或电子邮件地址,然后单击发送。
审核和接受风险等级
Diligent One 会根据评估响应,自动生成第三方资产的风险评分和级别。风险评分是一个百分比值,风险级别可能是紧急、高、中或低。有关第三方风险管理如何计算风险评分的更多信息,请参阅第三方资产的评估评分。
业务所有者可以查看风险级别和评分,然后选择等待评估 > 接受风险级别或操作 > 接受风险级别。Diligent One 会验证第三方是否分配了风险评分和级别,并将其移到待审核状态。
展示第三方风险评估示例
场景
您环境中的第三方资产具有较高的重要性级别,必须评估风险级别以确定是否需要创建任何补救计划。
评估第三方资产风险的步骤
- 风险经理打开第三方资产详细信息页面,然后选择已分类 > 风险评估。
-
他们将生成的风险评估发送给第三方所有者。
- 业务所有者审核风险级别并选择等待评估 > 接受风险级别。
第三方所有者提交响应之后,Diligent One 会计算风险评分和级别,并将这些信息填充到风险级别和风险评分字段。
结果
第三方资产现在已完成风险评估,并移到待审核状态。
通过发现跟踪问题
如果发现需要解决的第三方资产的问题,可以通过创建一个发现来解决。
查看资产时,可以在概览选项卡上展开发现抽屉以查看与该资产关联的所有发现。在这里,您可以创建发现,或者跟踪处理现有发现所需的工作。
跟踪第三方发现的示例
场景
在完成 CAIQ-Lite 问卷调查时,第三方所有者意识到您没有每年测试备份或恢复机制。他们通知您这是您应当一起调查的事项,因此您创建一个发现以跟踪此工作。
处理发现的步骤
- 要创建新的发现,请单击添加发现,输入发现名称,然后单击添加。第三方风险管理保存您的发现并自动将其指定为打开状态。您填写发现的相关属性,然后单击保存更改。
- 准备好处理发现后,在可视化工作流中,单击打开 > 开始。状态更改为进行中。您开始创建计划以安排年度测试,并列出这些测试将包括哪些内容。
- 准备好提交计划供审阅后,请单击进行中 > 审核。状态更改为待审核。您让第三方所有者审核您的计划。
- 审核完成后,单击待审核 > 关闭。状态更改为已关闭。
结果
您已经解决了第三方所有者填写调查问卷时提出的问题,并相信您的第三方会因此更加安全。
5. 激活第三方
现在,业务所有者已经审核并批准了风险评分和级别,作为风险经理,您可以审核详细信息选项卡上的属性并激活第三方。用于激活第三方的必要属性包括:
- 整体风险评级 - 根据第三方的重要性和风险级别选择总体风险评级。可以选择的值为紧急、高、中、低。
- 评级依据 - 提供指定评级的理由。
要激活第三方,请保存详细信息,然后选择待审核 > 激活或操作 > 激活。如果为所需属性提供了值,则第三方将移到激活状态。
6. 使用机器人将资产和记录数据导入到结果应用程序中
激活第三方并开始缓解资产库存中的相关风险后,您可以使用工作流机器人将资产和数据记录导入到结果应用程序中,这样您就可以在一个地方查看所有数据。
权限和安装
类似于其他工作流机器人,您必须被分配拥有专家订阅的系统管理员用户类型才能使用这些机器人。
从机器人应用程序中的仪表盘中选择工作流机器人,然后查找资产报告和记录报告机器人。以前安装的第三方风险管理不包含这些机器人,因此,若没有看到机器人,请联系您的 Diligent 代表寻求帮助。
使用机器人
对于每个机器人,您可以根据需要决定运行它,也可以安排它定期运行(例如,每天一次)。有关详细信息,请参阅创建机器人任务以运行脚本。
每次运行其中一个机器人时,它都会在结果应用程序中从头开始重新创建数据,因此不必担心看到现有第三方中的重复数据,或已删除第三方中的过期数据。
这些机器人中的脚本包括一些可以自定义的元素。例如,可以自定义某些字段的标签,使其在结果应用程序中显示不同。要获得帮助进行这些自定义,您可以联系 Diligent 代表。如果您熟悉编辑脚本,也可以自己进行自定义。有关在机器人应用程序中进行脚本编写的信息,请参阅机器人应用程序中的 Python 和 HCL 脚本编写。
7. 查看资产和记录数据
在结果应用程序中,使用工作流机器人导入的数据保存在风险管理报告集合中。如果导航到该集合,可以找到与您使用的机器人名称匹配的结果表,并查看最近导入的数据。有关详细信息,请参阅结果概览。
(可选)重新评估第三方
从业务和安全角度来看至关重要的第三方通常需要定期评估。当现有条款和政策发生任何更改时,您可能也想重新评估其他第三方。当您选择激活 > 重新评估时,Diligent One 会将第三方移回已注册状态。您可以重新启动分类和风险评估流程。
8. (可选)将第三方存档
如果不再需要监控第三方,但仍需要在系统中保留该第三方的记录,则可以对该资产进行存档。选择激活 > 存档。
为了便于使用,第三方风险管理允许在添加第三方资产后的任何阶段将其存档。
说明
将第三方资产存档后,将无法在生命周期中还原或进行任何进一步更新。但是,始终可以在需要时创建新的资产。
当在系统中不再需要某个已存档的第三方时,也可以将其删除。
