供应商风险管理记分卡:评估标准

学习如何创建供应商评估计分卡,自动化保证问卷,并检测供应商对组织造成的风险领域。

BSC Designer创建供应商风险管理计分卡的步骤

第三方供应商验证已成为网络安全采购合规供应链战略的重要组成部分。之前,我们讨论了评估计分卡背后的常规做法;本文中,我们将以供应商风险管理为例,讨论如何创建供应商评估计分卡。

BSC Designer中的供应商风险计分卡模板

BSC Designer中的供应商风险计分卡模板 来源:在BSC Designer中在线查看Vendor Risk Management Scorecard Vendor Risk Management Scorecard

我们将演示如何:

  • 定义评估标准,
  • 计算整体安全分数,
  • 收集所需证据,
  • 动态跟踪安全分数,和
  • 将结果与其他功能计分卡对齐。

供应商验证趋势:量化和持续过程

Vendor Validation Becomes a Quantified and Continuous Process

定义评估标准集

遵循当前最佳实践来定义供应商风险记分卡的评估标准集。

这可能包括:
KPI 正式的网络安全计划的存在
KPI 实施多因素身份验证
KPI 定期漏洞测试
KPI 采用“最低权限”实践
KPI 数据中心的SOC 2合规性
KPI 数据在传输和静止时加密
KPI 网络安全保险
KPI 入侵预防和检测系统
KPI 网络安全意识培训
KPI 报告的数据泄露
KPI 报告的数据泄露数量

根据标准的类型,可以配置为:

  • 二元 – 可能的状态为“是”或“否”。
  • 定量(例如,以%为单位衡量)或定性(自然选择或李克特量表)。
  • 标准可以优化为最大化(如通过网络安全意识培训的员工百分比)或最小化(如数据泄露的数量)。

Define evaluation criteria, calculate overall score, align evaluation scorecard with other strategy and function scorecards.

了解有关管理评估记分卡的最佳实践。

在BSC Designer中:

  1. 切换到战略工作区。
  2. 导航到新建 > 新建记分卡 > 更多模板…
  3. 使用“供应商风险管理”记分卡模板。

根据风险概况分配权重

根据供应商的风险概况为评估标准分配权重。

例如:

  • 有权访问敏感信息的供应商将在“网络安全保险”或“报告的数据泄露”等标准上有较高权重,而
  • 无权访问敏感信息的供应商将在“多因素认证”和实施“最低特权”做法等更常见的标准上有较高权重。

为评估因素分配权重。
在BSC Designer中:

  • 选择一个评估标准。
  • 切换到性能选项卡。
  • 在权重属性中调整相关权重。

建立供应商层级

根据供应商等级将供应商分组成层级。为每个供应商传播评估标准。

在BSC Designer中:

  • 使用“添加”按钮创建分组,
  • 复制并粘贴一组评估标准到每个分组中,并且
  • 重命名组名以匹配供应商名称。

在复制和粘贴时,考虑使用“粘贴并同步”选项,以确保评估标准的副本与原始模板保持同步。对模板的任何更改将自动传播到特定供应商的评估标准中。

构建和分发问卷

准备并分发安全问卷给供应商,然后将结果导入供应商风险管理记分卡中。

准备问卷:

  1. 打开一个记分卡。
  2. 选择一组标准。
  3. 选择工具 > 导出数据。
  4. 勾选复选框:”仅导出当前项目”和”包括子项目”。
  5. 使用”导出为模板”选项。
  6. 点击”下一步”完成导出。

一个保障/安全问卷的例子

请随意根据您的需要调整生成的模板。例如,将列”Value”重命名为”Answer”,并为问卷的答复者提供任何相关建议。

启动供应商评估

根据评估标准评估供应商,以识别相关漏洞。

  • 手动将评估得分输入到记分卡中,或
  • 从供应商的自我评估问卷的Excel表格中导入。

附上供应商提供的相关证据,如认证和实践中的政策。 在BSC Designer中:

  • 通过“数据”标签手动更新得分。
  • 使用“工具”>“导出数据”将评估标准导出到Excel,以便供应商自我评估。
  • 将证据附加到评估标准或通过“举措”对话框阐明的缓解计划中。

供应商风险评估

我们可以使用供应商评估数据来估计供应商的网络安全漏洞风险

在这种情况下:

  • 供应商评估的总分将有助于风险的可能性
  • 可以根据供应商在供应链中的角色来估计风险的影响

在 BSC Designer 中设置此项:

  1. 点击添加 – 添加风险。
  2. 点击可能性指标的数据来源按钮。
  3. 将公式更改为:100-%[Vendor 1](根据记分卡供应商的进度越高,风险的可能性越低)。

通过供应商网络安全评分计算的供应商风险可能性

将风险图添加到仪表板中以可视化整体风险格局:

在风险热图上可视化所有供应商风险的仪表板

持续风险监测

跟踪供应商评估分数随时间的变化,例如相关认证的变化或数据泄露的数量。

  • 定义每个评估标准的修订周期
  • 监控与评估标准相关的问题
  • 规划供应商评估分数的改进
  • 规划供应商的退出

BSC Designer中的评估计分卡模板.

BSC Designer中的评估计分卡模板. 来源:在BSC Designer中在线查看Evaluation Scorecard Evaluation Scorecard

在BSC Designer中:

  • 通过值编辑器设置指标的更新间隔
  • 使用值编辑器为特定日期分配分数。
  • 使用动态列查看分数如何随时间变化。
  • 使用行动方案跟踪数据泄露和缓解措施——更新状态和时间跨度。
  • 使用分数的评论跟踪问题,并使用行动方案规划改进计划。
在 BSC Designer 中持续监控 KPI指标

与战略对齐

将供应商风险评估记分卡与其他战略和功能记分卡对齐,例如治理合规记分卡。

  • 使用供应商组合的整体风险评分。
  • 使用特定供应商的风险评分。
  • 交叉链接各个记分卡的计划。

战略对齐需求的一个好例子是人工智能。即使您的组织没有计划实施人工智能技术,它也很可能通过第三方供应商和供应链受到其使用的影响。供应商记分卡需要与人工智能治理功能记分卡对齐。

Cascading Method 4: Alignment by Context

在BSC Designer中:

  • 复制供应商评分条目并将其粘贴到相关记分卡中。
  • 选择“通过数据链接”或“通过上下文链接”选项。

Training program课程:'Managing Evaluation Scorecards with BSC Designer' 是 BSC Designer 持续学习计划的一部分,提供在线和现场工作坊。了解更多...

结论

在本文中,我们讨论了创建供应商风险管理记分卡的步骤:

  1. 评估标准的定义
  2. 根据供应商的风险状况分配权重
  3. 持续的风险监控
  4. 供应商风险评分与其他记分卡的对齐

了解更多关于评估记分卡的具体机制

使用 Vendor Risk Management Scorecard 模板

BSC Designer 帮助组织实施其复杂的策略:

  1. 注册平台上的免费计划。
  2. 使用 Scorecard Template Vendor Risk Management Scorecard 模板作为起点。您可以在 新建 > 新建平衡记分卡 > 更多模板 中找到它。
  3. 遵循我们的战略实施系统,将利益相关者和战略目标对齐为一个全面的策略。

立即开始,看看 BSC Designer 如何简化您的战略实施!

请引用如下: Alexis Savkín, “供应商风险管理记分卡:评估标准,” BSC Designer, 14 11 月, 2024, https://bscdesigner.com/zh/vendor-scorecard.htm