今年，第三方参与数据泄露事件的比例从15%翻番至近30%，对此，许多企业已加强对第三方风险管理的关注，仔细审查供应商的安全措施，然而，许多企业仍忽视了一个关键漏洞：第四方风险。

第四方供应商的潜在威胁

大多数企业只关注直接与其合作的供应商，却忽略了进一步深挖这些供应商依赖哪些合作伙伴来提供服务。

第四方风险尤其难以应对，因为它们更难被发现，除非供应商主动披露，否则你可能根本不知道它们的存在，然而，若因第四方的安全漏洞导致数据泄露或业务中断，监管机构和客户仍会追究你所在企业的责任。

现实情况是，你最重要的供应商往往带来最大的风险，因为他们深度参与你的业务运营，且通常依赖多个分包商来提供服务，无论供应商通过何种方式访问你的环境——硬件、软件、本地部署、遗留技术或云平台——都可能带来风险，要管理这些风险，首先要追踪数据流向：

• 收集哪些数据，为何收集？了解供应商及其分包商代表你收集的具体数据、收集目的，以及这些数据是否为服务交付所必需。

• 数据流向何处?绘制数据流向图，了解数据经过哪些第四方，并识别隐私或安全法律较弱的司法管辖区。

• 谁将访问数据?识别所有直接或间接访问你数据的实体，包括分包商，并评估其控制措施。

• 数据保留多长时间?确定供应商供应链中的数据保留和删除做法，防止数据滞留在未知或不安全的位置。

• 数据在其生命周期内如何得到保护?评估第三方和第四方为保护你的数据所采用的加密、访问控制和安全标准。

尽管许多企业已采取措施加强第三方风险管理，但仅关注直接供应商关系是不够的，第四方风险往往隐藏在现有供应链安全措施中，形成盲点，可能削弱你的整体安全态势。

企业应强制执行传递义务

管理第四方风险最有效的策略之一是在供应商合同中强制执行传递义务，这意味着要求供应商对其供应商及其供应商的供应商都执行与你相同的安全和隐私合规标准。

假设你的企业要求直接供应商实施特定的加密标准、定期进行安全审计、将数据保留期限限制在规定时间内，并在规定时间内报告安全事件。那么，这些要求也应适用于供应商聘用的任何分包商。尽管对于资源有限的企业来说，保持对第四方的尽职调查似乎是一项艰巨的任务，但这一责任应在供应商合同中分配给第三方。

每份供应商合同应包含哪些内容？

供应商访问管理始于基于以下原则的合同：追踪数据流向、强化问责制、最小化剩余风险。在拟定供应商协议时，应确保：

• 分包商披露：要求供应商披露其使用的任何可访问你数据或系统的分包商(根据《通用数据保护条例》(GDPR)，供应商有法律义务这样做)，确保无论数据流向何处，你都能追踪风险。

• 快速事件通知：如果供应商的分包商发生任何可能影响你系统或数据的安全事件，供应商必须迅速通知你。

• 保留审计权利：保留对供应商和分包商合规情况进行审计的权利，包括确认特定身份，而非共享账户。

• 控制离职流程：确保合同终止或闲置时，所有访问权限立即失效，防止风险残留。

• 强制执行传递义务：供应商必须要求分包商遵守相同的安全和合规标准。

将这些要求正式化，可形成一条问责链，大大降低因分包商未达标而导致安全事件未被发现的风险。如果无法执行，口头承诺或夸大的保险覆盖范围都毫无意义。

确保整个供应链的安全

为了保持领先地位，企业必须超越直接供应商管理，实施可逐级传递至整个分包商链的可执行控制措施。通过嵌入传递义务、加强监督和采取分层、基于风险的方法，企业可以消除盲点，构建一个从设计上就具有韧性的供应商生态系统，随时应对未来可能出现的任何威胁。

来源：企业网D1net(www.d1net.com)

作者：Maria Phillips-你的供应链安全策略可能忽略了最大的风险