بناء برنامج TPRM
جرد الموردين وتصنيفهم - لا يمكنك إدارة ما لا يمكنك رؤيته. تتمثل الخطوة الأولى في إجراء جرد كامل لعلاقات الجهات الخارجية، بما في ذلك البيانات التي يصلون إليها، والأنظمة التي يتصلون بها، والخدمات التي يقدمونها. يتم تصنيف كل بائع حسب مستوى المخاطر بناءً على حساسية البيانات المعنية، وأهمية الخدمة، وعمق تكامل النظام.
تقييم المخاطر والعناية الواجبة - يخضع كل بائع لتقييم أمني يتناسب مع مستوى المخاطر الخاص به. يتضمن ذلك مراجعة الاستبيانات الأمنية (المتوافقة مع أطر عمل مثل SIG أو CAIQ أو المعايير المخصصة)، ومراجعة الأدلة (تقارير SOC 2، وشهادات ISO 27001، وملخصات اختبار الاختراق)، والتقييم الفني (تحليل سطح الهجوم الخارجي، ومراجعة التكوين لعمليات التكامل المهمة) والمراجعة التعاقدية (بنود حماية البيانات، ومتطلبات الإخطار بالانتهاك، وأحكام الحق في التدقيق، والمسؤولية والتعويض).
المراقبة المستمرة – التقييمات العرضية ضرورية ولكنها غير كافية. نحن ننفذ إمكانات المراقبة المستمرة بما في ذلك معلومات التهديدات الخارجية (تنبيهات خرق البائعين، ومراقبة الويب المظلم)، وخدمات تقييم الأمان (BitSight، وSecurityScorecard) التي توفر درجات المخاطر المستمرة، ومراقبة العقود والامتثال (انتهاء صلاحية الشهادات، والامتثال لاتفاقية مستوى الخدمة).
تكامل الاستجابة للحوادث — يجب أن تأخذ خطة الاستجابة للحوادث في الاعتبار الحوادث المتعلقة بالبائع. يتضمن ذلك قنوات اتصال محددة مسبقًا مع الموردين المهمين، ومسارات تصعيد واضحة عندما يبلغ المورد عن انتهاك، والالتزامات التعاقدية للإخطار السريع بالانتهاكات، وقواعد اللعب التي تم اختبارها لسيناريوهات اختراق سلسلة التوريد.