Система показателей управления рисками поставщиков: критерии оценки на 2025 год

Узнайте, как создать систему показателей оценки поставщика, автоматизировать анкеты для обеспечения и выявить области риска для организации, вызванные поставщиком.

Steps to Create a Vendor Risk Management Scorecard by BSC Designer

Валидация стороннего поставщика стала неотъемлемой частью стратегий кибербезопасности, закупок, комплаенса и цепочки поставок. Ранее мы обсуждали общие практики, лежащие в основе системы показателей оценки; в этой статье мы обсудим создание системы показателей оценки поставщика, используя управление рисками поставщика как пример.

A template for vendor risk scorecard in BSC Designer

Шаблон для системы показателей рисков поставщика в BSC Designer Источник: Просмотреть Vendor Risk Management Scorecard онлайн в BSC Designer Vendor Risk Management Scorecard.

Мы продемонстрируем, как:

  • Определить критерии оценки,
  • Рассчитать общий балл безопасности,
  • Собрать необходимые доказательства,
  • Отслеживать баллы безопасности динамически, и
  • Связать результаты с другими функциональными системами показателей.

Тренды валидации поставщиков: количественная оценка и непрерывный процесс

Vendor Validation Becomes a Quantified and Continuous Process

Определите набор критериев оценки

Следуйте текущим передовым практикам, чтобы определить набор критериев оценки для системы показателей риска поставщика.

Это может включать:
KPI Наличие формальной программы кибербезопасности
KPI Внедрение многофакторной аутентификации
KPI Регулярное тестирование уязвимостей
KPI Принятие практики «Минимальные привилегии»
KPI Комплаенс SOC 2 для дата-центра
KPI Шифрование данных в транзите и в покое
KPI Страхование кибербезопасности
KPI Системы предотвращения и обнаружения вторжений
KPI Тренинг по осведомленности в области кибербезопасности
KPI Зарегистрированные утечки данных
KPI Количество зарегистрированных утечек данных

В зависимости от типа критериев они могут быть настроены как:

  • Бинарные — с возможными состояниями «да» или «нет».
  • Количественные (например, измеряемые в %) или качественные (естественный выбор или шкала Лайкерта).
  • Критерии можно оптимизировать для максимизации (например, % сотрудников, прошедших тренинг по осведомленности в области кибербезопасности) или минимизации (например, количество утечек данных).

Определите критерии оценки, рассчитайте общий балл, свяжите систему показателей оценки с другими стратегическими и функциональными системами показателей.

Узнайте больше о передовых практиках управления системой показателей оценки.

В BSC Designer:

  1. Переключитесь на Рабочее пространство стратегии.
  2. Перейдите в Новый > Новая система показателей > Больше шаблонов…
  3. Используйте шаблон системы показателей «Управление рисками поставщика».

Назначьте вес в зависимости от профилей риска

Взвесьте критерии оценки в соответствии с профилем риска поставщика.

Например:

  • Поставщики с доступом к конфиденциальной информации будут иметь высокий вес для таких критериев, как «Страхование кибербезопасности» или «Зарегистрированные утечки данных», в то время как
  • Поставщики без доступа к конфиденциальной информации будут иметь высокий вес для более общих критериев, таких как «Многофакторная аутентификация» и внедрение практики «Минимальные привилегии».

Назначьте вес факторам оценки.
В BSC Designer:

  • Выберите критерий оценки.
  • Переключитесь на вкладку Производительность.
  • Отрегулируйте соответствующий вес в свойстве Вес.

Построить иерархию поставщиков

Сгруппируйте поставщиков в иерархию на основе уровня поставщика. Распространите критерии оценки для каждого поставщика.

В BSC Designer:

  • Создайте группы, используя кнопку «Добавить»,
  • Скопируйте и вставьте набор критериев оценки в каждую группу, и
  • Переименуйте имя набора, чтобы оно соответствовало имени поставщика.

При копировании и вставке рассмотрите возможность использования опции «Вставить и синхронизировать«, чтобы гарантировать синхронизацию реплик критериев оценки с оригинальным шаблоном. Любые изменения в шаблоне будут автоматически распространены на критерии оценки для конкретных поставщиков.

Создайте и распространите анкеты

Подготовьте и распространите анкеты по безопасности для поставщиков, а затем импортируйте результаты обратно в систему показателей управления рисками поставщиков.

Чтобы подготовить анкету:

  1. Откройте систему показателей.
  2. Выберите набор критериев.
  3. Выберите Инструменты > Экспорт данных.
  4. Поставьте галочки: «Экспортировать только текущий элемент» и «Включить дочерние элементы».
  5. Используйте опцию «Экспортировать как шаблон».
  6. Нажмите «Далее», чтобы завершить экспорт.

Пример анкеты по обеспечению безопасности

Не стесняйтесь адаптировать полученный шаблон под ваши нужды. Например, переименуйте столбец «Значение» в «Ответ» и предоставьте любые соответствующие рекомендации для респондентов анкеты.

Начать оценку поставщиков

Оцените поставщиков на основе критериев оценки, чтобы определить соответствующие уязвимости.

  • Вводите оценки вручную в систему показателей или
  • Импортируйте их из Excel для вопросника самооценки поставщика.

Прикрепите соответствующие доказательства, предоставленные поставщиком, такие как сертификаты и политики на практике.

В BSC Designer:

  • Обновите оценки вручную через вкладку Данные.
  • Используйте Инструменты > Экспорт данных для экспорта критериев оценки в Excel для самооценки поставщика.
  • Прикрепите доказательства к критериям оценки или к планам по работе с риском, сформулированным через диалог Инициативы.

Оценка рисков поставщика

Мы можем использовать данные оценки поставщика, чтобы оценить риск кибербезопасности для поставщика.

В этом случае:

  • Общая оценка поставщика будет способствовать Вероятности риска.
  • Влияние риска можно оценить в зависимости от роли поставщика в цепочке поставок.

Чтобы настроить это в BSC Designer:

  1. Нажмите Добавить — Добавить риск.
  2. Нажмите кнопку Источник данных для индикатора Вероятность.
  3. Измените формулу на: 100-%[Поставщик 1] (чем выше прогресс поставщика согласно системе показателей, тем ниже вероятность риска).

Вероятность риска поставщика, рассчитанная с использованием оценки кибербезопасности поставщика

Добавьте диаграмму рисков на панель мониторинга, чтобы визуализировать общую картину рисков:

Панель мониторинга, визуализирующая риски для всех поставщиков на тепловой карте рисков

Непрерывный мониторинг рисков

Отслеживайте изменения в оценочных баллах поставщиков с течением времени, такие как изменения в соответствующих сертификатах или количество утечек данных.

  • Определите период пересмотра для каждого критерия оценки
  • Контролируйте проблемы, связанные с критериями оценки.
  • Планируйте улучшение оценочных баллов поставщиков.
  • Планируйте вывод поставщика из системы.

Шаблон для оценочной системы показателей в BSC Designer.

Шаблон для оценочной системы показателей в BSC Designer. Источник: Просмотреть Evaluation Scorecard онлайн в BSC Designer Evaluation Scorecard.

В BSC Designer:

  • Настройте интервал обновления для индикатора через редактор значений
  • Используйте редактор значений, чтобы назначать баллы на конкретные даты.
  • Используйте динамические столбцы, чтобы видеть, как изменяется балл с течением времени.
  • Используйте инициативы, чтобы отслеживать утечки данных и действия по их устранению — обновляйте статус и временной интервал.
  • Используйте комментарии для баллов, чтобы отслеживать проблемы, и инициативы для составления планов улучшения.
Непрерывный мониторинг KPI в BSC Designer

Связь со стратегией

Свяжите систему показателей оценки рисков поставщиков с другими стратегическими и функциональными системами показателей, такими как управление или комплаенс.

  • Используйте общий риск-балл портфеля поставщиков.
  • Используйте риск-баллы конкретных поставщиков.
  • Свяжите инициативы из различных систем показателей.

Хороший пример необходимости стратегической связи — это ИИ. Даже если ваша организация не планирует внедрять технологии ИИ, она, скорее всего, будет затронута их использованием через сторонних поставщиков и цепочку поставок. Система показателей поставщиков должна быть связана с функциональной системой показателей управления ИИ.

Каскадирование метод 4: Связь по контексту

В BSC Designer:

  • Копируйте элемент оценки поставщиков и вставьте его в соответствующую систему показателей.
  • Выберите опцию «Связать по данным» или «Связать по контексту».

Training programСессия: 'Управление системами оценки с BSC Designer' доступна в рамках программы непрерывного обучения BSC Designer, предлагается как в формате онлайн, так и в формате очного семинара. Узнать больше....

Выводы

В этой статье мы обсудили шаги по созданию системы показателей управления рисками поставщика:

  1. Определение критериев оценки
  2. Назначение весов в зависимости от профиля риска поставщика
  3. Непрерывный мониторинг рисков
  4. Связь оценки риска поставщика с другими системами показателей

Узнайте больше о более специфических механиках оценки систем показателей.

Используйте шаблон Система показателей управления рисками поставщика

BSC Designer помогает организациям реализовывать их сложные стратегии:

  1. Зарегистрируйтесь на бесплатный план на платформе.
  2. Используйте шаблон Scorecard Template Система показателей управления рисками поставщика в качестве отправной точки. Вы найдете его в Новая > Новая система показателей > Больше шаблонов.
  3. Следуйте нашей Системе внедрения стратегии, чтобы связать заинтересованные стороны и стратегические амбиции в комплексную стратегию.

Начните сегодня и посмотрите, как BSC Designer может упростить реализацию вашей стратегии!

Цитирование: Alexis Savkín, "Система показателей управления рисками поставщиков: критерии оценки на 2025 год", BSC Designer, 14 ноября, 2024, https://bscdesigner.com/ru/vendor-scorecard.htm.