企业网络安全建设是一项体系化工作，任何一处的短板都将影响其最终安全防护效果。随着数字化转型的深入，很多企业已经高度重视自身的网络安全保障工作，却往往忽视了对第三方安全风险的有效管理。

不管企业规模大小，其在开展生产经营活动的过程中，总是存在着和第三方机构（人员）发生业务往来的交互过程，这意味着每个企业都会面临第三方风险威胁，包括市场环境风险（Market environment risk）、信用责任风险（Credit responsibility risk）、服务交付风险（Service delivery risk）、安全控制风险（Security controls risk）等多个方面。而与之对应的第三方风险管理（Third Party Risk Management，简称TPRM），就是要了解并管理好第三方合作机构可能给企业本身带来的负面影响，并采取积极主动的措施，应对可能由此产生的风险损失。

TPRM对金融机构的价值

TPRM是一个持续的过程，用来评估、监控和管理来自与外部有关方合作带来的风险。对于金融机构而言，TPRM对于降低运营风险、防止潜在的财务损失至关重要。对于金融机构而言，积极开展有效的第三方风险管理，可以带来以下好处：

1. 确保第三方机构与自身业务风险偏好保持一致

TPRM提供了一种系统性的方法来识别、评估和监控与第三方合作带来的风险。反过来，它让金融机构可以做出明智的决定，确定与其他组织或企业，甚至行业外的组织或企业建立关系或继续合作是否安全。

此外，如果了解和管理与第三方合作带来的风险，金融机构可以更有把握地寻求机会，同时仍坚持整体风险偏好。

2. 降低合规成本，提高运营效率

运作良好的TPRM计划有助于确保金融机构遵守监管要求，帮助金融机构降低由于业务违规导致的合规成本，比如罚款和处罚。TPRM还可以通过统一风险识别和评估方法来帮助金融机构提高业务运营效率。此外，它有助于减少对手动风险处置流程和跨部门重复工作的需求。

3. 增强安全风险应对的能力

如果能够清晰了解与第三方合作带来的风险，金融机构就可以制定和实施更有效的风险缓解策略。TPRM有助于金融机构及时识别出潜在的安全风险，并尽可能减少风险造成的影响和损失。通过开展TPRM工作，可以帮助金融机构与第三方服务提供商建立更稳固的合作关系。这种联系有助于改善风险管理方面的沟通和协作，从而进一步改善风险缓解工作。

4. 维护商业声誉，增强用户信心

TPRM可以帮助金融机构避免或降低与第三方合作带来的商誉损失风险。此外，通过有效地管理与第三方合作带来的风险，金融机构可以增强客户的信心，在市场上保持良好声誉，保障金融业务的稳定开展。

TPRM落地的五个关键阶段

金融机构在开展TPRM时，可以参照企业IT风险管理生命周期的理念，将风险管理流程分为以下几个关键阶段：

1. 风险评估

风险评估是开展TPRM的关键阶段。风险审计师在这个阶段需要尝试识别和评估可能与使用第三方服务相关的任何风险。目的是查明哪些方面可能存在导致数据泄露或其他安全事件的漏洞。为此，风险审计师将审查金融机构与第三方服务提供商相关的政策和工作流程。他们还将询问关键业务人员，对过去的一些工作内容进行审查。通过识别和评估与第三方服务提供商相关的风险，风险审计师可以帮助金融机构采取措施，降低这些风险，改善整体安全状况。

2. 风险管理规划

当第三方风险被充分识别后，金融机构可以进入到第三方风险管理规划阶段。这时需要充分听取各利益相关者的意见，包括IT专业人员、业务部门和外部审计机构。这个过程可能很漫长，长短取决于所审查系统的复杂性。该阶段涵盖的一些关键方面包括如下：

• 确定TPRM计划的目标；
• 识别需要缓解哪些风险；
• 制定管理第三方风险的政策和程序；
• 选择和实施控制措施，缓解已识别的安全风险。

3. 效果测试

在风险管理计划到位后，风险审计师将进行实施测试，以确保落实到位的控制措施安全有效。这通常需要审查文件和询问关键人员。

效果测试工作还可能需要进行某种形式的现场测试，比如：

• 渗透测试：这种测试用于模拟真实世界的攻击，从而评估系统和控制措施的安全性。
• 漏洞扫描：这种测试使用自动化工具来识别系统中的潜在安全漏洞。
• 安全评估：这种测试由安全专家团队进行，他们手动测试系统查找漏洞。

4. 风险管理报告

TPRM在正式实施之前，需要准备一份详细说明调查结果的报告，内容包括TPRM计划的概述以及改进建议。报告的目的是让企业清楚地了解自身第三方风险的概况，以及如何改善整体安全状况的建议。

5. 监控和维护

TPRM的最后一个阶段是监控和维护。在这个阶段将确保报告给出的建议得到实施，TPRM计划得到有效管理。这通常需要定期审查和评估，以确保计划仍然有效，以及任何新风险已被识别和解决。