今年，第三方參與數據泄露事件的比例從15%翻番至近30%，對此，許多企業已加強對第三方風險管理的關注，仔細審查供應商的安全措施，然而，許多企業仍忽視了一個關鍵漏洞：第四方風險。

第四方供應商的潛在威脅

大多數企業只關注直接與其合作的供應商，卻忽略了進一步深挖這些供應商依賴哪些合作伙伴來提供服務。

第四方風險尤其難以應對，因為它們更難被發現，除非供應商主動披露，否則你可能根本不知道它們的存在，然而，若因第四方的安全漏洞導致數據泄露或業務中斷，監管機構和客戶仍會追究你所在企業的責任。

現實情況是，你最重要的供應商往往帶來最大的風險，因為他們深度參與你的業務運營，且通常依賴多個分包商來提供服務，無論供應商通過何種方式訪問你的環境——硬件、軟件、本地部署、遺留技術或云平臺——都可能帶來風險，要管理這些風險，首先要追蹤數據流向：

? 收集哪些數據，為何收集?了解供應商及其分包商代表你收集的具體數據、收集目的，以及這些數據是否為服務交付所必需。

? 數據流向何處?繪制數據流向圖，了解數據經過哪些第四方，并識別隱私或安全法律較弱的司法管轄區。

? 誰將訪問數據?識別所有直接或間接訪問你數據的實體，包括分包商，并評估其控制措施。

? 數據保留多長時間?確定供應商供應鏈中的數據保留和刪除做法，防止數據滯留在未知或不安全的位置。

? 數據在其生命周期內如何得到保護?評估第三方和第四方為保護你的數據所采用的加密、訪問控制和安全標準。

盡管許多企業已采取措施加強第三方風險管理，但僅關注直接供應商關系是不夠的，第四方風險往往隱藏在現有供應鏈安全措施中，形成盲點，可能削弱你的整體安全態勢。

企業應強制執行傳遞義務

管理第四方風險最有效的策略之一是在供應商合同中強制執行傳遞義務，這意味著要求供應商對其供應商及其供應商的供應商都執行與你相同的安全和隱私合規標準。

假設你的企業要求直接供應商實施特定的加密標準、定期進行安全審計、將數據保留期限限制在規定時間內，并在規定時間內報告安全事件。那么，這些要求也應適用于供應商聘用的任何分包商。盡管對于資源有限的企業來說，保持對第四方的盡職調查似乎是一項艱巨的任務，但這一責任應在供應商合同中分配給第三方。

每份供應商合同應包含哪些內容?

供應商訪問管理始于基于以下原則的合同：追蹤數據流向、強化問責制、最小化剩余風險。在擬定供應商協議時，應確保：

? 分包商披露：要求供應商披露其使用的任何可訪問你數據或系統的分包商(根據《通用數據保護條例》(GDPR)，供應商有法律義務這樣做)，確保無論數據流向何處，你都能追蹤風險。

? 快速事件通知：如果供應商的分包商發生任何可能影響你系統或數據的安全事件，供應商必須迅速通知你。

? 保留審計權利：保留對供應商和分包商合規情況進行審計的權利，包括確認特定身份，而非共享賬戶。

? 控制離職流程：確保合同終止或閑置時，所有訪問權限立即失效，防止風險殘留。

? 強制執行傳遞義務：供應商必須要求分包商遵守相同的安全和合規標準。

將這些要求正式化，可形成一條問責鏈，大大降低因分包商未達標而導致安全事件未被發現的風險。如果無法執行，口頭承諾或夸大的保險覆蓋范圍都毫無意義。

確保整個供應鏈的安全

為了保持領先地位，企業必須超越直接供應商管理，實施可逐級傳遞至整個分包商鏈的可執行控制措施。通過嵌入傳遞義務、加強監督和采取分層、基于風險的方法，企業可以消除盲點，構建一個從設計上就具有韌性的供應商生態系統，隨時應對未來可能出現的任何威脅。