企業網絡安全建設是一項體系化工作，任何一處的短板都將影響其最終安全防護效果。隨著數字化轉型的深入，很多企業已經高度重視自身的網絡安全保障工作，卻往往忽視了對第三方安全風險的有效管理。

不管企業規模大小，其在開展生產經營活動的過程中，總是存在著和第三方機構（人員）發生業務往來的交互過程，這意味著每個企業都會面臨第三方風險威脅，包括市場環境風險（Market environment risk）、信用責任風險（Credit responsibility risk）、服務交付風險（Service delivery risk）、安全控制風險（Security controls risk）等多個方面。而與之對應的第三方風險管理（Third Party Risk Management，簡稱TPRM），就是要了解并管理好第三方合作機構可能給企業本身帶來的負面影響，并采取積極主動的措施，應對可能由此產生的風險損失。

TPRM對金融機構的價值

TPRM是一個持續的過程，用來評估、監控和管理來自與外部有關方合作帶來的風險。對于金融機構而言，TPRM對于降低運營風險、防止潛在的財務損失至關重要。對于金融機構而言，積極開展有效的第三方風險管理，可以帶來以下好處：

1. 確保第三方機構與自身業務風險偏好保持一致

TPRM提供了一種系統性的方法來識別、評估和監控與第三方合作帶來的風險。反過來，它讓金融機構可以做出明智的決定，確定與其他組織或企業，甚至行業外的組織或企業建立關系或繼續合作是否安全。

此外，如果了解和管理與第三方合作帶來的風險，金融機構可以更有把握地尋求機會，同時仍堅持整體風險偏好。

2. 降低合規成本，提高運營效率

運作良好的TPRM計劃有助于確保金融機構遵守監管要求，幫助金融機構降低由于業務違規導致的合規成本，比如罰款和處罰。TPRM還可以通過統一風險識別和評估方法來幫助金融機構提高業務運營效率。此外，它有助于減少對手動風險處置流程和跨部門重復工作的需求。

3. 增強安全風險應對的能力

如果能夠清晰了解與第三方合作帶來的風險，金融機構就可以制定和實施更有效的風險緩解策略。TPRM有助于金融機構及時識別出潛在的安全風險，并盡可能減少風險造成的影響和損失。通過開展TPRM工作，可以幫助金融機構與第三方服務提供商建立更穩固的合作關系。這種聯系有助于改善風險管理方面的溝通和協作，從而進一步改善風險緩解工作。

4. 維護商業聲譽，增強用戶信心

TPRM可以幫助金融機構避免或降低與第三方合作帶來的商譽損失風險。此外，通過有效地管理與第三方合作帶來的風險，金融機構可以增強客戶的信心，在市場上保持良好聲譽，保障金融業務的穩定開展。

TPRM落地的五個關鍵階段

金融機構在開展TPRM時，可以參照企業IT風險管理生命周期的理念，將風險管理流程分為以下幾個關鍵階段：

1. 風險評估

風險評估是開展TPRM的關鍵階段。風險審計師在這個階段需要嘗試識別和評估可能與使用第三方服務相關的任何風險。目的是查明哪些方面可能存在導致數據泄露或其他安全事件的漏洞。為此，風險審計師將審查金融機構與第三方服務提供商相關的政策和工作流程。他們還將詢問關鍵業務人員，對過去的一些工作內容進行審查。通過識別和評估與第三方服務提供商相關的風險，風險審計師可以幫助金融機構采取措施，降低這些風險，改善整體安全狀況。

2. 風險管理規劃

當第三方風險被充分識別后，金融機構可以進入到第三方風險管理規劃階段。這時需要充分聽取各利益相關者的意見，包括IT專業人員、業務部門和外部審計機構。這個過程可能很漫長，長短取決于所審查系統的復雜性。該階段涵蓋的一些關鍵方面包括如下：

• 確定TPRM計劃的目標；
• 識別需要緩解哪些風險；
• 制定管理第三方風險的政策和程序；
• 選擇和實施控制措施，緩解已識別的安全風險。

3. 效果測試

在風險管理計劃到位后，風險審計師將進行實施測試，以確保落實到位的控制措施安全有效。這通常需要審查文件和詢問關鍵人員。

效果測試工作還可能需要進行某種形式的現場測試，比如：

• 滲透測試：這種測試用于模擬真實世界的攻擊，從而評估系統和控制措施的安全性。
• 漏洞掃描：這種測試使用自動化工具來識別系統中的潛在安全漏洞。
• 安全評估：這種測試由安全專家團隊進行，他們手動測試系統查找漏洞。

4. 風險管理報告

TPRM在正式實施之前，需要準備一份詳細說明調查結果的報告，內容包括TPRM計劃的概述以及改進建議。報告的目的是讓企業清楚地了解自身第三方風險的概況，以及如何改善整體安全狀況的建議。

5. 監控和維護

TPRM的最后一個階段是監控和維護。在這個階段將確保報告給出的建議得到實施，TPRM計劃得到有效管理。這通常需要定期審查和評估，以確保計劃仍然有效，以及任何新風險已被識別和解決。