第三方风险管理


共享评估计划

第三方风险管理(TPRM)是审查和管理与外包给第三方供应商或服务提供商相关的风险的过程。此过程可以包括访问组织’■知识产权,数据,运营,财务,客户信息或其他敏感信息。 

虽然第三方风险历史上与依靠外国外国人的金融机构所产生的潜在风险相关联,但它比现在大得多。 TPRM是每个垂直市场的问题,因为世界变得更加依赖外包。 

作为我们RSA会议覆盖范围的一部分,华晨安全杂志与圣菲集团的执行团队坐下。我们遇到了Catherine Allen,主席David Perez,首席执行官和高级总监Michael Jordan。 

Santa Fe Group(SFG)是一家战略咨询公司,为领先的金融机构,医疗保健支付者和提供者,律师事务所,教育机构,零售商,公用事业和其他关键基础设施组织提供专业知识。

我们在与SFG会面的目标是更多地了解他们着名的共享评估计划。共享评估计划是第三方风险管理的可信资源。它们提供了他们提供的行业,包括资源,包括工具和最佳实践,以管理供应商风险管理生命周期的关键要素。

圣达菲集团董事长凯瑟琳艾伦
圣达菲集团董事长凯瑟琳艾伦

提供我们与上下文,凯瑟琳提供的对话,“大约15年前,六个最大的银行和四大会计师事务所的首席执行官要求圣达菲集团创建一个致力于在金融部门的第三方风险的人们创建社区。那时,银行开始越来越外包,并认识到与外包相关的风险的监管恰好在地平线上。这些银行和会计师事务所正在寻求在管理第三方网络安全风险方面取得曲线。”

快进到今天,她继续,“我们现在是306名公司成员的社区。成员代表信息安全,隐私和第三方风险管理领导人的协同,全球,同伴社区。共享评估计划与行业协会一样;成员通过工作组在各种问题上工作。工作组由各种专家组成。该成员不仅代表种族和性别多样性,还具有多样性,如隐私,安全,符合金融,公用事业,零售商和医疗保健等广泛行业的多样性。” 

这些共享评估工作组有助于将成员公司和其他人可以使用的评估工具进行种子。这些工具旨在使用户能够自我评估其与第三方相关的风险。他们还提供教育网络研讨会,并为第三方风险专业人士构建了认证计划。  

共享评估计划的认证的第三方风险评估员(CTPRA)指定验证了个人需要在评估期间需要对第三方进行彻底的风险控制领域的特定风险控制域中的知识。

迈克尔乔丹,圣菲集团高级总监
迈克尔乔丹,圣菲集团高级总监

Santa Fe集团高级总监Michael Jordan指出,通过共享评估的风险内容或情报众所周境’成员公司以及他们创造的评估工具,可供广泛的客户使用。他解释说,“在共享评估会员公司之外的公司提供此内容和这些评估工具。” He said, “成千上万的人使用了这个内容和这些工具。”

Michael认为Santa Fe Group提供的唯一性“是完成这项15年的遗产,并通过各种集体成员资格的专业知识所了解的内容。”

凯瑟琳将David Perez作为Santa Fe Group提起’SO在两个月前的首席执行官,所以她可以有更多的时间将她作为SFG董事会的责任专注于她的责任。她认为,她可以最有效地与大型企业的董事和董事会成员交谈,并帮助他们了解第三方风险如何是企业的一个组成部分’■总体风险。她在建立风险委员会方面经验丰富,并享受协助其他组织建立风险委员会。她说,“部分地,我帮助这些董事和董事会成员了解第三方风险的新兴趋势,与气候变化以及地缘政治风险有关的风险。”

圣达菲集团首席执行官David J. Perez
圣达菲集团首席执行官David J. Perez

David J. Perez,首席执行官,Santa Fe Group,通过解释,绘制了这张照片,“想象一家拥有伟大产品的供应商。他们能’在他们的潜在客户之前做生意’经验证明,他们有安全,隐私,恢复力或条例,所有人都在控制下。想象一下,他们有成千上万的客户。这意味着他们有成千上万的评估请求来了。他们如何管理那种东西?我们在市场上拥有如此需求的原因,从我们向服务提供商销售给服务提供商的供应商是因为他们想要一个评估必须做到。他们做一次。它们提供了有人关心一次,然后每次获得新要求,他们只需要将该信息发送到潜在客户的信息。”

他继续,“如果供应商有其他问题,他们希望添加到评估,他们可以。但是在使用一个标准的信息集时,更易于管理。”

共享评估计划工具遵循管理第三方风险的两步方法。共享评估计划使用行业既定的最佳实践支持“trust, but verify”进行第三方评估的方法。这种方法使用户能够根据公司微调其第三方风险管理计划’管理风险的战略。

共享评估计划:

  • 不断监控新的标准,法规和风险区域。
  • 因此,更新行业领先的第三方风险管理计划工具,包括:
    • 标准化信息收集(SIG)问卷调查问卷,用于执行您的供应商的初步评估。
    • 共享评估商定程序(AUP),是标准化现场评估的工具。
    • 供应商风险管理成熟度模型(VRMMM),用于确定您自己的第三方风险管理计划的成熟度的自我评估工具
  • 促进并分享年度供应商风险管理基准研究,与全球咨询公司PROTIVIVIT合作,审查组织的到期日’跨多个垂直的当前风险管理程序。
  • 提供唯一的成员驱动,协作组织,创建对话围绕第三方风险
  • 促进认证的第三方风险专业人员(CTPRP)计划 - 唯一专注于第三方风险管理的唯一认证计划。
  • 创建并促进协作的现场评估计划,这确保了对供应商的强大和一致的评估’S标准的风险姿势,共享服务。
  • 通过每月会员论坛呼叫和年度共享评估峰会等活动提供前沿教育和领导机会

希望了解有关Santa Fe Group的更多信息的读者’S共享评估计划并在此处获取其他信息:  共享评估计划.

朝向地平线,大卫告诉BSM,SFG很快就会站起来。这座学院将为风险专业人士提供教育,以帮助他们在工作中擅长并成为CTPRA认证。


STEVEN Bowcut,CPP,PSP是一个屡获殊荣的新闻工作者,涵盖网络和物理安全。他是一家华晨安全杂志的编辑和作家,以及其他安全和非安全在线出版物。跟随和连接史蒂夫 推特, Facebook, Instagram., 和 linkedin.