Система показателей управления рисками поставщиков: Критерии оценки для 2025 года

Узнайте, как создать систему показателей оценки поставщиков, автоматизировать анкеты для обеспечения и выявить области риска для организации, вызванные поставщиком.

Steps to Create a Vendor Risk Management Scorecard by BSC Designer

Проверка сторонних поставщиков стала неотъемлемой частью стратегий кибербезопасности, закупок, комплаенса и управления цепочками поставок. Ранее мы обсуждали общие практики, лежащие в основе системы показателей оценки; в этой статье мы обсудим создание системы показателей оценки поставщика на примере управления рисками поставщиков.

A template for vendor risk scorecard in BSC Designer

A template for a vendor risk scorecard in BSC Designer Источник: Просмотреть Vendor Risk Management Scorecard онлайн в BSC Designer Vendor Risk Management Scorecard.

Мы продемонстрируем, как:

  • Определить критерии оценки,
  • Рассчитать общий показатель безопасности,
  • Собрать необходимые доказательства,
  • Динамически отслеживать показатели безопасности, и
  • Установить связь результатов с другими функциональными системами показателей.

Определите набор критериев оценки

Следуйте текущим лучшим практикам для определения набора критериев оценки для системы показателей рисков поставщика.

В 2024 году это может включать:
KPI Наличие формальной программы кибербезопасности
KPI Внедрение многофакторной аутентификации
KPI Регулярное тестирование уязвимостей
KPI Принятие практики «минимально необходимых привилегий»
KPI Комплаенс центров обработки данных по SOC 2
KPI Шифрование данных при передаче и хранении
KPI Страхование кибербезопасности
KPI Системы предотвращения и обнаружения вторжений
KPI Тренинг по осведомленности в области кибербезопасности
KPI Сообщенные утечки данных
KPI Количество сообщенных утечек данных

В зависимости от типа критерия, он может быть настроен как:

  • Бинарный — с возможными состояниями «да» или «нет.»
  • Количественный (например, измеряемый в %) или качественный (естественный выбор или шкала Лайкерта).
  • Критерии могут быть оптимизированы для максимизации (например, % сотрудников, прошедших тренинг по осведомленности в области кибербезопасности) или минимизации (например, количество утечек данных).

Определите критерии оценки, рассчитайте общий балл, свяжите систему показателей оценки с другими стратегическими и функциональными системами показателей.

Узнайте больше о лучших практиках управления системой показателей оценки.

В BSC Designer:

  1. Переключитесь на Рабочее пространство стратегии.
  2. Перейдите в Новый > Новая система показателей > Подробнее о шаблонах…
  3. Используйте шаблон системы показателей «Управление рисками поставщиков».

Назначьте вес в зависимости от профилей риска

Взвесьте критерии оценки в соответствии с профилем риска поставщика.

Например:

  • Поставщики с доступом к конфиденциальной информации будут иметь высокий вес для таких критериев, как «Страхование кибербезопасности» или «Зарегистрированные утечки данных», в то время как
  • Поставщики без доступа к конфиденциальной информации будут иметь высокий вес для более общих критериев, таких как «Многофакторная аутентификация» и внедрение практики «Минимальные привилегии».

Назначьте вес факторам оценки.
В BSC Designer:

  • Выберите критерий оценки.
  • Переключитесь на вкладку Производительность.
  • Отрегулируйте соответствующий вес в свойстве Вес.

Создайте иерархию поставщиков

Сгруппируйте поставщиков в иерархию на основе уровня поставщика. Распространите критерии оценки для каждого поставщика.

В BSC Designer:

  • Создайте группы с помощью кнопки «Добавить»,
  • Скопируйте и вставьте набор критериев оценки в каждую группу, и
  • Переименуйте имя набора в соответствии с именем поставщика.

Создайте и распространите анкеты

Подготовьте и распространите анкеты по безопасности для поставщиков, а затем импортируйте результаты обратно в систему показателей управления рисками поставщиков.

Чтобы подготовить анкету:

  1. Откройте систему показателей.
  2. Выберите набор критериев.
  3. Выберите Инструменты > Экспорт данных.
  4. Поставьте галочки: «Экспортировать только текущий элемент» и «Включить дочерние элементы».
  5. Используйте опцию «Экспортировать как шаблон».
  6. Нажмите «Далее», чтобы завершить экспорт.

Пример анкеты по обеспечению безопасности

Не стесняйтесь адаптировать полученный шаблон под ваши нужды. Например, переименуйте столбец «Значение» в «Ответ» и предоставьте любые соответствующие рекомендации для респондентов анкеты.

Начать оценку поставщиков

Оцените поставщиков на основе критериев оценки, чтобы определить соответствующие уязвимости.

  • Вводите оценки вручную в систему показателей или
  • Импортируйте их из Excel для вопросника самооценки поставщика.

Прикрепите соответствующие доказательства, предоставленные поставщиком, такие как сертификаты и политики на практике.

В BSC Designer:

  • Обновите оценки вручную через вкладку Данные.
  • Используйте Инструменты > Экспорт данных для экспорта критериев оценки в Excel для самооценки поставщика.
  • Прикрепите доказательства к критериям оценки или к планам по работе с риском, сформулированным через диалог Инициативы.

Оценка рисков поставщика

Мы можем использовать данные оценки поставщика, чтобы оценить риск киберугроз для поставщика.

В этом случае:

  • Общий балл оценки поставщика будет способствовать Вероятности риска.
  • Влияние риска можно оценить в зависимости от роли поставщика в цепочке поставок.

Чтобы настроить это в BSC Designer:

  1. Нажмите Добавить — Добавить риск.
  2. Нажмите кнопку Источник данных для индикатора Вероятность.
  3. Измените формулу на: 100-%[Поставщик 1] (чем выше прогресс поставщика согласно системе показателей, тем ниже вероятность риска).

Вероятность риска поставщика, рассчитанная с использованием системы показателей кибербезопасности поставщика

Добавьте диаграмму риска на панель мониторинга, чтобы визуализировать общую картину рисков:

Панель мониторинга, визуализирующая риски для всех поставщиков на тепловой карте рисков

Непрерывный мониторинг рисков

Отслеживайте изменения в оценках поставщиков со временем, такие как изменения в соответствующих сертификатах или количество утечек данных.

  • Определите период пересмотра для каждого критерия оценки
  • Отслеживайте проблемы, связанные с критериями оценки.
  • Планируйте улучшение оценок поставщиков.
  • Планируйте вывод поставщиков.

Шаблон системы показателей оценки в BSC Designer.

Шаблон системы показателей оценки в BSC Designer. Источник: Просмотреть Evaluation Scorecard онлайн в BSC Designer Evaluation Scorecard.

В BSC Designer:

  • Настройте интервал обновления для индикатора через Редактор значений
  • Используйте Редактор значений для назначения оценок на конкретные даты.
  • Используйте динамические столбцы, чтобы видеть, как изменяется оценка со временем.
  • Используйте инициативы для отслеживания утечек данных и действий по их устранению — обновляйте статус и временной интервал.
  • Используйте комментарии к оценкам для отслеживания проблем и инициативы для составления планов улучшения.
Continuous Monitoring of KPIs in BSC Designer

Связь со стратегией

Свяжите систему показателей оценки рисков поставщиков с другими стратегическими и функциональными системами показателей, такими как корпоративное управление или комплаенс.

  • Используйте общий показатель риска портфеля поставщиков.
  • Используйте показатели риска конкретных поставщиков.
  • Перекрестно связывайте инициативы из различных систем показателей.

Хороший пример необходимости стратегической связи — это ИИ. Даже если ваша организация не планирует внедрять технологии ИИ, она, скорее всего, будет затронута их использованием через третьих поставщиков и цепочку поставок. Система показателей поставщиков должна быть связана с функциональной системой показателей управления ИИ.

Метод каскадирования 4: Связь по контексту

В BSC Designer:

  • Скопируйте элемент оценки поставщика и вставьте его в соответствующую систему показателей.
  • Выберите опцию «Связь по данным» или «Связь по контексту».

Training programТренинг: 'Управление системами показателей оценки с помощью BSC Designer' предлагается в рамках нашей программы непрерывного обучения и включен в подписку BSC Designer.

Тренинги проводятся еженедельно через Zoom, предоставляя практические инсайты и персонализированные рекомендации. По завершении участники получают сертификат о посещении. Изучите все доступные тренинги здесь.

Выводы

В этой статье мы обсудили шаги по созданию системы показателей управления рисками поставщиков:

  1. Определение критериев оценки
  2. Назначение весов в зависимости от профиля риска поставщика
  3. Непрерывный мониторинг рисков
  4. Связь оценки риска поставщика с другими системами показателей

Узнайте больше о более конкретных механизмах оценки систем показателей.

Используйте шаблон Система показателей управления рисками поставщика

BSC Designer помогает организациям реализовывать их сложные стратегии:

  1. Зарегистрируйтесь на бесплатный план на платформе.
  2. Используйте шаблон Scorecard Template Система показателей управления рисками поставщика в качестве отправной точки. Вы найдете его в Новая > Новая система показателей > Больше шаблонов.
  3. Следуйте нашей Системе внедрения стратегии, чтобы связать заинтересованные стороны и стратегические амбиции в комплексную стратегию.

Начните сегодня и посмотрите, как BSC Designer может упростить реализацию вашей стратегии!

Цитирование: Alexis Savkín, "Система показателей управления рисками поставщиков: Критерии оценки для 2025 года", BSC Designer, 14 ноября, 2024, https://bscdesigner.com/ru/vendor-scorecard.htm.