最新消息


今年這場突如其來的疫情,對企業在第三方廠商高度關聯的供應斷鏈議題造成全球性的影響,也讓企業重新審思產業佈局與風險評估方法。而ISACA在去年所發佈的「第三方風險管理」白皮書,正好也對這方面進行全面的分析。該白皮書提供關於治理問題的最佳實踐方法、並將第三方風險評估的形式,整合至風險分析流程中;除此之外,也包含了必要的控制措施,對企業應該如何進行提供了更深入的見解。

藉此白皮書的內容,可協助企業改進第三方風險管理計劃,並採取適當作為以避免潛在的第三方違約或企業持續營運風險。相信在疫情結束後,企業都將會審慎地重新評估與第三方關係。

本協會為讓各界先進瞭解此白皮書內容,特地翻譯成中文版,將提供給對此議題有興趣的讀者,歡迎大家至協會網站檔案下載區下載第三方風險管理白皮書(中譯版)。同時為服務會員,於109年5月27日舉行「第三方風險管理白皮書研討會」,會中由業界專家對此白皮書結合實務編撰的參考資料,僅供會員下載做為導讀資料,如有需要歡迎加入本協會會員。

白皮書下載連結>>

導讀下載連結>>


導讀資料

數位安全時代下的企業風險管理 
蔡一郎 台灣數位安全聯盟理事長

第三方風險管理白皮書架構與內容簡介 
葉奇鑫 達文西個資暨高科技法律事務所主持律師

白皮書內容說明與實踐
陳政龍 |  財團法人國家實驗研究院稽核室正工程師
黃誌緯 |  安永聯合會計師事務所資深經理 

邱述琛 |  安侯建業聯合會計師事務所副總經理
陳鴻棋 |  勤業眾信聯合會計師事務所協理

 


白皮書大綱

摘要 Abstract
引言 Introduction
關於第三方風險的關鍵定義 Key Definitions for Third-party Risk
第三方治理 Third-party Governance
  第三方管理的角色 Third-party Management Roles
  企業採購 Enterprise Procurement
  第三方資料處理協議 Third-party Data Handling Agreement
  第三方詮釋資料 Third-party Metadata
第三方風險評估處理 Third-party Risk Assessment Process
  第三方風險分類方法(固有風險評估) Third-party Risk Triage (Inherent Risk Assessment)
  第三方資料分類 Third-party administrative
  第三方管理評估 Third-party Administrative Assessment
     合約 Contract
     滲透測試結果 Penetration Testing(Pentest)Results
     認證、驗證及其他外部稽核報告 Accreditation,Certifications and Other External Audit Reports
     內部稽核報告 Internal Audit Reports
     政策覆核 Policy Review
     資料流程 Data Flows
     待解決議題 (來自前期評估) Open Issues(From Previous Assessments)
     突發事件 Incidents
     控制問卷 Control Quesionnaire
  第三方現場評估 Third-party Onsite Assessments
  技術輔助評論 Technology-aided Reviews
風險分析 Risk Analysis
建立威脅模型 Threat Modeling
確定風險等級 Determining Risk Ratings
評估結案及持續監督 Assessment Closeout and Onging Monitoring
結語 Conclusion
致謝 Acknowledgements