第四方风险管理是识别、评估和减轻由您的第三方供应商（您的供应商的供应商）的供应商构成的网络安全风险的过程。随着数字化转型压缩IT生态系统之间的界限，如果您的任何供应商受到威胁，他们都可能从值得信赖的供应商转变为关键数据泄露攻击媒介。

虽然管理第三方安全风险的重要性现已在网络安全行业得到广泛认可，但很少有组织会考虑第四方风险的影响。这篇文章概述了实施第四方风险管理程序的框架，以保护您的数据免受这个被忽视的攻击面区域的影响。

为什么第四方风险管理很重要？

第四方风险管理很重要，因为受损的第四方供应商可能导致您的组织遭受数据泄露。要了解使这些事件成为可能的途径，请考虑您的公司与在线交易处理器合作的场景。反过来，该平台可能会将其所有信用卡处理外包给自己的第三方（您的第四方）。

如果此信用卡处理器没有足够的安全措施，网络犯罪分子可能会利用它们，导致交易处理器的敏感数据也被泄露。由于您的企业还与交易处理器共享敏感的内部信息以支持其服务，因此当它们受到损害时，您的企业也会遭到破坏。数字化转型具有将攻击面与每个已建立的供应商关系相结合的不良且不可避免的影响。现在，不仅您的第三方供应商的漏洞会影响您的安全态势，您的第四方风险也会在影响您的风险偏好方面发挥关键作用。

第三方风险管理与第四方风险管理的区别

第三方风险管理侧重于您的直接供应商带来的安全风险，而第四方风险管理则将这种审查扩展到供应商的合作伙伴。由于与您的第四方供应商缺乏直接业务关系，外部监控解决方案（例如攻击面监控工具和供应商风险管理平台）对于填补这些抵消关系造成的可见性差距至关重要。

重要的是要了解，与TPRM一样，FPRM不是一项独立的网络安全计划。它。应与您现有的网络安全计划无缝集成。要了解这些集成应该如何工作，请参阅这篇文章。遵循此框架来扩展您的网络安全计划以包括第四方风险管理。

1.确定所有关键的第四方供应商

由于一般组织与11家第三方供应商合作，映射您在该网络中的敏感数据流是一项相当大的工作。但是当你进一步放大并考虑从每个第三方节点分支出来的第四方网络时，这个过程就变成了逻辑上的噩梦。

值得庆幸的是，第四方风险管理计划并不要求对所有第四方进行同等监控。以高效第三方风险管理程序为特征的优先级排序原则也适用于FPRM。在第三方风险管理计划（也称为供应商风险管理计划）中，供应商是分层的，以便关键供应商——那些处理更高程度敏感数据的供应商——在风险缓解工作中优先考虑。

建立FPRM的第一步是确定所有关键的第四方。关键性不一定仅由正在处理的敏感数据的程度决定——尽管这应该是一个主要的决定指标。如果供应商自己的供应商因网络攻击或任何其他业务中断而被迫下线，关键性也会受到对您的业务运营的潜在影响程度的影响。

确定您的关键供应商仍然是一个需要克服的相当大的障碍。最简单的方法是询问那些比你更了解你的第四方的人——你的第三方供应商。风险评估或安全问卷是理想的使用工具。由于不存在行业标准的第四方风险调查问卷，因此您可以通过为此目的定制设计安全调查问卷来更准确地反映每个第四方关系。自定义问卷生成器，允许风险管理团队自定义现有的监管标准问卷或从空白画布构建完全定制的设计。

以下是一些可以帮助您衡量每个第四方供应商的重要性的问题：

对这些问题的回答将使您能够按关键程度对第四方供应商进行分级，从而轻松识别在监控工作中需要优先考虑的实体。如前所述，您对分层策略的选择取决于您独特的信息安全要求。如果您不确定使用哪个指标来通知此结构，您可以使用的客观且广泛采用的安全状况指标是安全评级。

尽管定制的安全调查问卷可以帮助您了解大部分关键的第四方供应商，但由于不准确或不完整的回答，仍然存在一些被忽视的风险。为了填补这些空白，应将攻击面监控解决方案与安全问卷结合使用。

供应商风险管理平台，会自动发现您网络中的所有第四方供应商，帮助您跟踪在此阶段被查询的所有第四方。在建立第四方关系基线后，可以在您了解更多第四方供应商时添加它们，以简化向前推进的第四方供应商映射工作。

当单独使用时间点评估（例如安全问卷）时，被忽视的攻击媒介的风险总是很普遍。这就是为什么最好的供应商风险管理平台将风险评估和安全评级解决方案的增强标准化以生成实时安全态势跟踪的原因。

2.将第四方风险管理纳入您的尽职调查流程

在确定了您当前所有关键的第四方服务提供商之后，应将新的第四方供应商发现添加到尽职调查流程中，以简化这项工作。此过程应涉及查询每个新供应商的第三方和分包商的自定义评估。以下是一些可帮助您在尽职调查阶段评估第四方供应商风险的问题：

一些可用于评估第四方供应商安全状况的安全风险评估包括：

3.持续监控关键的第四方供应商

通过将所有关键的第四方供应商单独分组并将新的第四方供应商发现嵌入到尽职调查过程中，第四方风险管理计划的基础已经奠定。现在，重点是通过监控关键的第四方供应商是否存在新出现的安全风险来确保您的辛勤工作不会白费。

持续监控是此风险管理生命周期的第三阶段，导致提高第四方安全风险弹性的周期性努力。

通过风险评估对监测工作中新发现的风险进行更详细的审查，为设计有针对性的补救措施提供信息。然后监控这些补救措施的有效性以及新风险的出现，并继续循环。随着周期的每一次转折，第四方风险管理程序变得更加优化，并且能够更好地发现、补救和管理第四方风险。

由于您的风险管理团队与第四方供应商之间没有明确的沟通渠道，因此监控第四方攻击面不应该只落在您的肩上。应鼓励您的第三方供应商通过实施具有攻击面监控功能的VRM程序来承担其供应商风险。

在相信您的供应商会有效地监控他们的第三方供应商之前，首先必须确认两件事：

这两个查询都可以通过供应商风险评估来确认。如果您的供应商尚未解决其第三方的潜在风险，是向他们推荐的绝佳解决方案。

您应该监控的第四方风险类型

需要监控的一些常见第四方风险包括：