对于希望关注其他基本业务流程的组织来说,将IT外包给平台即服务(PaaS)非常流行. 甚至软件开发组织也经常外包IT, 负责IT应用程序正常运行时间的组织不再拥有硬件和IP连接. 我把正在发生的事情称为IT订书机. For example, 基础设施作为代码外包, 源代码在存储库服务中托管和跟踪,测试由托管在其他地方的工具自动执行. On top of that, 支持多个业务流程的多个应用程序正在运行, 实际使用的软件应用程序是由几个供应商编写的. 组织通常与他们合作的大多数软件供应商都有协议, 这意味着他们确信供应商已经实现了适当的控制,以保证组织始终可以使用该软件. 然而,这意味着不仅要信任软件供应商,还要信任整个供应商链. So, how can you do that?
第三方管理是您的组织需要对您的供应商及其供应商进行适当的管理. 您可能想知道,既然您的风险分析可能指出您将风险转移给了供应商,为什么这一点如此重要. 考虑一下当供应商不能满足交付期望并扰乱业务流程时会发生什么. The supplier may be responsible, 但这种混乱仍然会影响你的客户, 你的品牌声誉和你的生产力. In 2019, the 业务中断的主要原因是计划外的IT或电信中断.
当涉及到第三方管理, 通常要求国际标准化组织(ISO)认证或保证报告,如SOC2 II型报告. However, 对于每个供应商(以及该供应商的子服务组织,如果重要的话),应该确定与外包服务相关的风险. 风险是否与关键业务流程的连续性有关,还是与机密信息有关? 机密性、完整性和可用性(CIA)是此分析的基础. 主题领域,如法律和法规(例如.g.供应商是否处理个人身份资料(PII) ??) can be included in this analysis. 你的组织的每一个重要领域都应该被分配一个风险等级(1).e.(高、中、低),这决定了您需要什么样的保证文档. Of course, 你可以要求每个供应商提供最高级别的保证, but that may not be realistic. 如果您要求持续监控和SOC2 II型报告,您的供应商成本将是巨大的. 对于低风险的外包服务,自我评估可能足以涵盖已识别的风险.
在实施合适的第三方管理体系时, 重要的是要意识到一些业务流程部分地依赖于第三方,并且采用它们存在风险. 当你意识到第三方的风险, 然后,您可以将风险划分为主题区域, 量化风险,并开始定义管理风险的度量. 这个框架可以帮助你确保你可以依赖你的供应商(和他们的供应商)。.
Editor’s note: 要进一步了解这个话题,请阅读Jouke Albeda最近在《澳门赌场官方下载》上发表的文章, “Third-Party Assurance: Why and How?,” ISACA Journal, volume 2, 2021.
Don't forget—Members can earn free CPE from ISACA Journal quizzes!
