Управление рисками третьих сторон (TPRM)
Что такое Управление рисками третьих сторон (TPRM)?
Управление рисками третьих сторон (TPRM)Сквозная дисциплина идентификации, оценки, контрактации, мониторинга и отключения сторонних контрагентов, чтобы вносимые ими кибер-, операционные и комплаенс-риски оставались в пределах аппетита.
TPRM охватывает любые отношения, в которых организация зависит от внешних сторон — вендоров, поставщиков услуг, облачных платформ, финтех-партнёров, поставщиков n-уровня — для достижения бизнес-результатов. Типичный жизненный цикл включает: тиринг по присущему риску, due diligence (анкеты по безопасности, SOC 2, ISO 27001, выездные аудиты), договорные гарантии (право аудита, уведомление о нарушениях, условия по данным), постоянный мониторинг (рейтинги, аналитика угроз, аттестации), обработку инцидентов и отключение. Регуляторы в финансах (DORA, OCC, FFIEC), здравоохранении (HIPAA) и приватности (GDPR) предъявляют всё более детализированные требования. Современные программы интегрируют TPRM с ERM, закупками, юридической функцией и киберопераций, особо отслеживая концентрацию и риски цепочки поставок.
● Примеры
- 01
Программа TPRM с уровнями и усиленной проверкой для поставщиков, обрабатывающих регулируемые данные.
- 02
Непрерывный мониторинг критичных SaaS-провайдеров через рейтинги безопасности и SOC-отчёты.
● Частые вопросы
Что такое Управление рисками третьих сторон (TPRM)?
Сквозная дисциплина идентификации, оценки, контрактации, мониторинга и отключения сторонних контрагентов, чтобы вносимые ими кибер-, операционные и комплаенс-риски оставались в пределах аппетита. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Управление рисками третьих сторон (TPRM)?
Сквозная дисциплина идентификации, оценки, контрактации, мониторинга и отключения сторонних контрагентов, чтобы вносимые ими кибер-, операционные и комплаенс-риски оставались в пределах аппетита.
Как работает Управление рисками третьих сторон (TPRM)?
TPRM охватывает любые отношения, в которых организация зависит от внешних сторон — вендоров, поставщиков услуг, облачных платформ, финтех-партнёров, поставщиков n-уровня — для достижения бизнес-результатов. Типичный жизненный цикл включает: тиринг по присущему риску, due diligence (анкеты по безопасности, SOC 2, ISO 27001, выездные аудиты), договорные гарантии (право аудита, уведомление о нарушениях, условия по данным), постоянный мониторинг (рейтинги, аналитика угроз, аттестации), обработку инцидентов и отключение. Регуляторы в финансах (DORA, OCC, FFIEC), здравоохранении (HIPAA) и приватности (GDPR) предъявляют всё более детализированные требования. Современные программы интегрируют TPRM с ERM, закупками, юридической функцией и киберопераций, особо отслеживая концентрацию и риски цепочки поставок.
Как защититься от Управление рисками третьих сторон (TPRM)?
Защита от Управление рисками третьих сторон (TPRM) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Управление рисками третьих сторон (TPRM)?
Распространённые альтернативные названия: TPRM, Киберриски третьих сторон.
● Связанные термины
- compliance№ 1199
Управление рисками поставщиков
Подмножество TPRM, направленное на оценку и контроль непосредственных поставщиков, прежде всего их практик безопасности, приватности и операционной устойчивости.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- compliance№ 383
Корпоративное управление рисками (ERM)
Интегрированный подход к идентификации, управлению и обработке стратегических, финансовых, операционных, комплаенс- и киберрисков в масштабе всей организации, согласованный с её целями.
- compliance№ 1063
SOC 2
Стандарт аттестации AICPA, в рамках которого независимый аудитор оценивает контроли сервисной организации на соответствие Trust Services Criteria.
- compliance№ 557
ISO/IEC 27001
Международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ), по которому организации могут пройти официальную сертификацию.
● См. также
- № 351DORA