Узнайте, как создать систему показателей оценки поставщиков, автоматизировать анкеты для обеспечения и выявить области риска для организации, вызванные поставщиком.
Проверка сторонних поставщиков стала неотъемлемой частью стратегий кибербезопасности, закупок, комплаенса и управления цепочками поставок. Ранее мы обсуждали общие практики, лежащие в основе системы показателей оценки; в этой статье мы обсудим создание системы показателей оценки поставщика на примере управления рисками поставщиков.
Мы продемонстрируем, как:
- Определить критерии оценки,
- Рассчитать общий показатель безопасности,
- Собрать необходимые доказательства,
- Динамически отслеживать показатели безопасности, и
- Установить связь результатов с другими функциональными системами показателей.
Определите набор критериев оценки
Следуйте текущим лучшим практикам для определения набора критериев оценки для системы показателей рисков поставщика.
В 2024 году это может включать:
Наличие формальной программы кибербезопасности
Внедрение многофакторной аутентификации
Регулярное тестирование уязвимостей
Принятие практики «минимально необходимых привилегий»
Комплаенс центров обработки данных по SOC 2
Шифрование данных при передаче и хранении
Страхование кибербезопасности
Системы предотвращения и обнаружения вторжений
Тренинг по осведомленности в области кибербезопасности
Сообщенные утечки данных
Количество сообщенных утечек данных
В зависимости от типа критерия, он может быть настроен как:
- Бинарный — с возможными состояниями «да» или «нет.»
- Количественный (например, измеряемый в %) или качественный (естественный выбор или шкала Лайкерта).
- Критерии могут быть оптимизированы для максимизации (например, % сотрудников, прошедших тренинг по осведомленности в области кибербезопасности) или минимизации (например, количество утечек данных).
Узнайте больше о лучших практиках управления системой показателей оценки.
В BSC Designer:
- Переключитесь на Рабочее пространство стратегии.
- Перейдите в Новый > Новая система показателей > Подробнее о шаблонах…
- Используйте шаблон системы показателей «Управление рисками поставщиков».
Назначьте вес в зависимости от профилей риска
Взвесьте критерии оценки в соответствии с профилем риска поставщика.
Например:
- Поставщики с доступом к конфиденциальной информации будут иметь высокий вес для таких критериев, как «Страхование кибербезопасности» или «Зарегистрированные утечки данных», в то время как
- Поставщики без доступа к конфиденциальной информации будут иметь высокий вес для более общих критериев, таких как «Многофакторная аутентификация» и внедрение практики «Минимальные привилегии».
В BSC Designer:
- Выберите критерий оценки.
- Переключитесь на вкладку Производительность.
- Отрегулируйте соответствующий вес в свойстве Вес.
Создайте иерархию поставщиков
Сгруппируйте поставщиков в иерархию на основе уровня поставщика. Распространите критерии оценки для каждого поставщика.
В BSC Designer:
- Создайте группы с помощью кнопки «Добавить»,
- Скопируйте и вставьте набор критериев оценки в каждую группу, и
- Переименуйте имя набора в соответствии с именем поставщика.
Создайте и распространите анкеты
Подготовьте и распространите анкеты по безопасности для поставщиков, а затем импортируйте результаты обратно в систему показателей управления рисками поставщиков.
Чтобы подготовить анкету:
- Откройте систему показателей.
- Выберите набор критериев.
- Выберите Инструменты > Экспорт данных.
- Поставьте галочки: «Экспортировать только текущий элемент» и «Включить дочерние элементы».
- Используйте опцию «Экспортировать как шаблон».
- Нажмите «Далее», чтобы завершить экспорт.
Не стесняйтесь адаптировать полученный шаблон под ваши нужды. Например, переименуйте столбец «Значение» в «Ответ» и предоставьте любые соответствующие рекомендации для респондентов анкеты.
Начать оценку поставщиков
Оцените поставщиков на основе критериев оценки, чтобы определить соответствующие уязвимости.
- Вводите оценки вручную в систему показателей или
- Импортируйте их из Excel для вопросника самооценки поставщика.
Прикрепите соответствующие доказательства, предоставленные поставщиком, такие как сертификаты и политики на практике.
В BSC Designer:
- Обновите оценки вручную через вкладку Данные.
- Используйте Инструменты > Экспорт данных для экспорта критериев оценки в Excel для самооценки поставщика.
- Прикрепите доказательства к критериям оценки или к планам по работе с риском, сформулированным через диалог Инициативы.
Оценка рисков поставщика
Мы можем использовать данные оценки поставщика, чтобы оценить риск киберугроз для поставщика.
В этом случае:
- Общий балл оценки поставщика будет способствовать Вероятности риска.
- Влияние риска можно оценить в зависимости от роли поставщика в цепочке поставок.
Чтобы настроить это в BSC Designer:
- Нажмите Добавить — Добавить риск.
- Нажмите кнопку Источник данных для индикатора Вероятность.
- Измените формулу на: 100-%[Поставщик 1] (чем выше прогресс поставщика согласно системе показателей, тем ниже вероятность риска).
Добавьте диаграмму риска на панель мониторинга, чтобы визуализировать общую картину рисков:
Непрерывный мониторинг рисков
Отслеживайте изменения в оценках поставщиков со временем, такие как изменения в соответствующих сертификатах или количество утечек данных.
- Определите период пересмотра для каждого критерия оценки
- Отслеживайте проблемы, связанные с критериями оценки.
- Планируйте улучшение оценок поставщиков.
- Планируйте вывод поставщиков.
В BSC Designer:
- Настройте интервал обновления для индикатора через Редактор значений
- Используйте Редактор значений для назначения оценок на конкретные даты.
- Используйте динамические столбцы, чтобы видеть, как изменяется оценка со временем.
- Используйте инициативы для отслеживания утечек данных и действий по их устранению — обновляйте статус и временной интервал.
- Используйте комментарии к оценкам для отслеживания проблем и инициативы для составления планов улучшения.
Связь со стратегией
Свяжите систему показателей оценки рисков поставщиков с другими стратегическими и функциональными системами показателей, такими как корпоративное управление или комплаенс.
- Используйте общий показатель риска портфеля поставщиков.
- Используйте показатели риска конкретных поставщиков.
- Перекрестно связывайте инициативы из различных систем показателей.
Хороший пример необходимости стратегической связи — это ИИ. Даже если ваша организация не планирует внедрять технологии ИИ, она, скорее всего, будет затронута их использованием через третьих поставщиков и цепочку поставок. Система показателей поставщиков должна быть связана с функциональной системой показателей управления ИИ.
В BSC Designer:
- Скопируйте элемент оценки поставщика и вставьте его в соответствующую систему показателей.
- Выберите опцию «Связь по данным» или «Связь по контексту».
Тренинг: 'Управление системами показателей оценки с помощью BSC Designer' предлагается в рамках нашей программы непрерывного обучения и включен в подписку BSC Designer.
Тренинги проводятся еженедельно через Zoom, предоставляя практические инсайты и персонализированные рекомендации. По завершении участники получают сертификат о посещении. Изучите все доступные тренинги здесь.
Выводы
В этой статье мы обсудили шаги по созданию системы показателей управления рисками поставщиков:
- Определение критериев оценки
- Назначение весов в зависимости от профиля риска поставщика
- Непрерывный мониторинг рисков
- Связь оценки риска поставщика с другими системами показателей
Узнайте больше о более конкретных механизмах оценки систем показателей.
Используйте шаблон Система показателей управления рисками поставщика
BSC Designer помогает организациям реализовывать их сложные стратегии:
- Зарегистрируйтесь на бесплатный план на платформе.
- Используйте шаблон
Система показателей управления рисками поставщика в качестве отправной точки. Вы найдете его в Новая > Новая система показателей > Больше шаблонов.
- Следуйте нашей Системе внедрения стратегии, чтобы связать заинтересованные стороны и стратегические амбиции в комплексную стратегию.
Начните сегодня и посмотрите, как BSC Designer может упростить реализацию вашей стратегии!
Alexis является старшим консультантом по стратегии и генеральным директором BSC Designer с более чем 20-летним опытом в области стратегического планирования. Alexis разработал «Систему внедрения стратегии из 5 шагов», которая помогает компаниям в практической реализации их стратегий. Он является постоянным докладчиком на отраслевых конференциях и опубликовал более 100 статей по управлению стратегией и производительностью, включая книгу «Система KPI из 10 шагов». Его работы часто цитируются в академических исследованиях.