2、平安集团：第三方供应商信息安全风险管理实践（15页）.pdf

《2、平安集团：第三方供应商信息安全风险管理实践（15页）.pdf》由会员分享，可在线阅读，更多相关《2、平安集团：第三方供应商信息安全风险管理实践（15页）.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、2016年Gartner报告指出:59%的信息泄露是由于第三方供应商导致的，全球财富500强中75%的企业将供应商风险提升至董事会层面。2018年波耐蒙研究所(Ponemon Institute)研究指出：在英国和美国约有60%的公司表示他们通过第三方遭受了数据泄露，且其中只有35%的企业认为自己有行之有效的第三方风险管理计划。01与企业合作的供应商有能力保护相关隐私安全吗？02董事与高管在网络安全监督方面责任/难度越来越大每当出现高度曝光的数据泄露事件时，往往伴随的是相应上市企业股价的断崖式下跌及重大声誉危机，如今管理网络风险已成为企业董事和高管最大监督挑战之一，甚至已经成为他们的个人风险。

2、为了更好的理解企业安全风险现状，董事会在不断的要求增加安全高管的汇报频度，但在Bay Dynamics 的一项覆盖125位活跃董事会高管调查结论指出，81%的受访安全高管认为频繁的安全汇报分散了大量工作精力，71%的董事会成员认为安全风险汇报过于技术化，难以理解。背景问题Back GroundASEASEC C供应链信息安全问题再次增加了信息安全治理的广度和难度美国零售巨头TARGET黑客通过其空调供应商黑客通过其空调供应商HVACHVAC的远程维护的远程维护系统入侵到系统入侵到TARGETTARGET的内部网络，导致近的内部网络，导致近1 1亿用户数据泄露亿用户数据泄露电动汽车独角兽特斯拉黑

3、客入侵了其工业自动化供应商黑客入侵了其工业自动化供应商level onelevel one的的数据库，导致近数据库，导致近157GB157GB的蓝图、工厂原理图、的蓝图、工厂原理图、客户资料（合同、发票、工作计划等）泄露客户资料（合同、发票、工作计划等）泄露国内智能手机制造商黑客通过入侵其物流供应商系统黑客通过入侵其物流供应商系统窃取相关数十万用户订单数据窃取相关数十万用户订单数据国内金融保险企业因其供应商因其供应商*健康科技的网站存在漏洞，泄健康科技的网站存在漏洞，泄露数十万条保险用户的险种、手机号、身份露数十万条保险用户的险种、手机号、身份证号、密码信息证号、密码信息供应商风险评估的普遍缺

4、位营销获客ITOBPO业务收益业务风险物流代发工资制卡商旅电话客服提升非核心业务能力效率企业资源聚焦核心业务安全声誉风险、安全合规风险、人员操作风险提升业务运营指标借助第三方在技术领域能力知识快速满足业务需求技术安全质量风险人员操作风险数据隐私泄露、滥用风险安全声誉风险引入供应商需要平衡业务收益与潜在风险，但往往风险评估是缺位或不详尽的营销短信CPS、CPA广告电话销售外包软件开发机房托管IT运维托管持续监控力度不足年度检查、抽检等方式监控颗粒度不足，信息安全态势瞬息万变，容易遗漏前后改进效果不清晰对发现的问题跟踪整改后，缺乏评估整改前后的效果量化评估，对供应商的安全能力缺乏整体认知评估方式不

5、够自动化传统评估依赖人工审查，审查常因人力资源问题无法全面覆盖，缺乏自动化的方式提升评估效率供应商现状了解不足仅凭供应商安全资质无法正确体现信息安全能力真实水平，资质代理严谨程度不一，安全资质仅为投标加分而拿01020304供应商风险评估的现状与挑战-通过平台自动化对供应商进行安全评估，1-2周内拿到评估结果和报告-对发现高风险的供应商要求进行风险说明或拒绝合作374/1000715/1000采购入围398/1000高风险拒绝准入709/1000低风险准入418/1000649/1000风险监控感知触发审计要求风险说明在供应商入围阶段启动信息安全评估611/1000对合作供应商信息安全的持续监

6、控-对已合作供应商的持续安全态势监控，一旦发现新增风险，向业务合作方披露风险并触发下一步的安全审计要求进行风险说明平安供应商风险评估平台安全级别：普通SRS security rating services信息安全量化服务风险事件 incidents企业数据泄露、黑客攻击、严重漏洞、员工渎职新闻事件负面舆情信息安全负面舆情与信息资产关联的威胁情报，来自公开、商业、威胁情报联盟的情报信息威胁情报与缺陷扫描网络空间内公开可发现的信息资产信息采集整理，对相关资产缺陷进行扫描监控网络空间测绘缺陷扫描 evaluation端到端的供应商内部安全控制评估问卷，基于等