在數位轉型的時代,企業與第三方供應商、合作夥伴的連結越來越緊密。這雖有助於加速業務成長,卻也大幅提高資安風險。一份最新調查指出,有高達 61% 的美國企業 曾因供應商或第三方合作對象造成資料外洩事件,且這個比例自 2016 年起已上升了 12%。
面對這樣的挑戰,導入與 NIST 等資安框架接軌的第三方風險管理策略(TPRM),成為企業穩健擴張的關鍵。然而,許多企業仍過度依賴「供應商風險評估問卷」作為唯一工具,卻未意識到其本質僅是「資安快照」,難以反映持續變動的風險實況。
本文將帶你深入了解問卷評估的限制、如何透過資安評級與持續監控補足不足,並提供具實務價值的問卷設計建議與範例,協助你建立一套可長期運作的 TPRM 機制。
供應商風險管理問卷(也稱為第三方風險評估問卷或供應商風險評估問卷)設計的目的,是協助企業辨識合作廠商與夥伴中可能存在的資安弱點,這些弱點若未妥善處理,可能會導致資安事件發生,甚至像滾雪球般的越擴越大。
不過,這類問卷通常只能反映出供應商資安防護態勢的一個快照(snapshot),難以呈現全面性風險。原因在於,企業的系統架構會變動、部分工作可能外包、政策會調整,因此供應商所帶來的風險是動態變化的。
若企業有規模擴張的計畫,建議建立一套可長期運作的第三方風險管理(TPRM)機制,其內容不應只依賴問卷,而應透過如資安評級工具等方式持續監控合作對象的風險狀態。
儘管如此,問卷在 TPRM 中仍有不可取代的角色,特別是在供應商審核與導入初期階段。根據 EY 於 2018 年的調查,有 72% 的企業 使用業界標準問卷(或是以此為基礎建立自己的版本)。
每間企業都不同,供應商也一樣。因此,問卷應依產業特性與個別供應商的角色與風險等級進行客製化設計。可考慮的因素包括:該供應商可接觸的資料類型與數量、以往的表現紀錄等,這些都能幫助你制定更精準的資安評估問題。
建議可從以下三套業界公認的資安評估框架著手,作為問卷設計的基礎:
由資安專家彙整出的重點控制清單,實務中已證實可有效降低風險。
從這些資安框架中,你可以提取大量問題並依照企業風險偏好進行調整。請確保問卷同時涵蓋你所處產業的其他特定關注面,例如需遵守的法規(如金融業的法遵要求或個資法規定)。
以下為根據 NIST 安全框架所設計的樣本問卷問題,依主題分類:
你是否也想了解「企業的風險評估分數」及「供應鏈的資安風險評估」呢?
或是你現在正在思考如何做一個第三方資安問卷調查表,歡迎留下資訊,將會有專業的顧問團隊與您聯繫 ➤ https://www.gss.com.tw/bitsight-product