当敏感数据从第三方供应商处被盗，或者当他们的系统被用来访问和窃取存储在您系统中的敏感信息时，就会发生第三方违规。在当今的数字环境中，将业务流程外包给专门从事每个特定功能的供应商已成为标准做法，无论是通过SaaS供应商、第三方服务提供商还是承包商。

这些第三方通常不在您的组织的控制之下，并且它们不太可能提供完全透明的信息安全控制。一些供应商可以拥有强大的安全标准和良好的风险管理实践，而其他供应商则可能没有。

2019年eSentire的一项调查发现，在所有接受调查的公司中，有44%的公司经历过由第三方供应商造成的重大数据泄露。IBM的数据泄露成本报告发现，第三方参与是五个最大的成本放大器之一，使平均成本增加超过370,000美元，达到429万美元。这就是为什么第三方风险管理和供应商风险管理构成任何组织的企业风险管理战略的重要组成部分。

在不衡量他们引入的网络安全风险的情况下，让可以访问您的网络和敏感数据的第三方供应商入职是有风险的。太多的组织未能在供应商选择过程中进行充分的尽职调查。

在不给供应商管理团队带来运营开销的情况下评估潜在供应商的一种简单方法是使用安全评级。安全评级已被广泛采用，因为它们补充并有时可以替代耗时的供应商风险评估技术，如问卷调查、现场访问和渗透测试。

安全评级让您立即了解潜在供应商的外部安全状况以及他们可能容易受到哪些网络威胁。这大大减轻了TPRM团队在供应商选择、尽职调查、入职和监控期间的运营负担。此外，报告可以与供应商共享并用于补救问题。结果是更准确、实时地了解供应商将给您的供应链带来的风险，而无需花费时间完成代价高昂的风险评估、渗透测试或漏洞扫描。

将网络风险纳入您的供应商风险管理计划和供应商合同中。虽然这不会阻止第三方数据泄露，但这意味着如果他们的安全状况减弱，您的供应商将被追究责任。

我们的许多客户将安全评级纳入他们的合同。例如，有些规定处理个人信息或信用卡的供应商必须保持900以上的安全等级，否则有终止合同的风险。

我们还建议将SLA纳入您的合同，以便您可以引导供应商的网络安全风险管理行为并降低您的网络安全风险。考虑添加要求您的供应商在特定时间范围内沟通甚至修复任何安全问题的语言，例如高风险问题需要72小时。此外，考虑增加每季度一次要求完成安全调查问卷的权利，因为它们可以突出显示外部安全扫描遗漏的问题。

4.持续监控供应商的安全风险

供应商的安全状况可以而且将会在您的合同过程中发生变化。这就是为什么随着时间的推移持续监控他们的安全控制对您来说至关重要的原因。问题是，大多数组织不会持续监控他们的供应商。相反，他们依赖于时间点评估，例如审计或安全问卷，这些通常只是组织安全状况的快照。

虽然您永远无法完全防止第三方未经授权的访问、网络攻击和安全漏洞，但重要的是与供应商合作而不是好斗，以降低风险并快速修复安全问题。

例如，您可以使用我们的投资组合风险概况来确定供应商生态系统中最关键风险的优先级，并通过我们的平台请求补救措施，以确保快速解决风险并进行审计跟踪。这有助于外展，并让您和您的供应商了解需要修复的内容以及为什么它会对最终用户和个人数据构成风险。

表现最好的组织（那些在去年能够避免违规的组织和那些拥有成熟的风险管理计划的组织）都参与了领导。根据PonemonInsitute的第三方生态系统数据风险报告，53%的高绩效组织中的受访者表示他们有董事会和高管级别的参与，而在经历过第三方的组织中只有25%的受访者表示数据泄露。

这种参与意味着最高绩效者的领导层意识到保护机密信息的重要性，以及在全球范围内引入通用数据保护法规（例如GDPR、LGPD、CCPA、FIPA、PIPEDA和SHIELD法案。通常，他们也会了解运营安全性差和社交媒体上过度分享的风险，网络犯罪分子经常利用这些风险进行鱼叉式网络钓鱼和捕鲸攻击。

如果小型企业或第三方供应商无法满足您的标准，或者如果他们遭受勒索软件攻击或数据泄露，您是否愿意切断联系？如果您愿意，您是否有适当的流程来成功脱离供应商而不会导致业务连续性问题？很多公司擅长招募供应商，但很难正确地让他们离开。最安全的组织关心细节，并了解适当的下线是第三方风险管理的重要组成部分。

了解您的第三方风险很重要，了解您的第三方依赖谁也很重要。这些组织被称为您的第四方供应商，他们引入了第四方风险。正如组织正在迅速采用多因素身份验证一样，我们看到我们最好的客户通过合同要求供应商在与第四方或第五方共享数据时通知他们。这使他们能够跟踪敏感信息共享并更好地了解谁有权访问。

9.遵循最小特权原则（POLP）

许多第三方数据泄露事件的发生是因为第三方获得的访问权限超过了他们完成工作所需的访问权限。考虑投资一个强大的基于角色的访问控制系统，该系统遵循最小特权原则(POLP)，这种做法将用户、帐户和计算进程的访问权限限制为仅那些需要完成手头工作的人。