본문으로 건너뛰기

TPRM, 제3자 리스크 관리

· 약 3분

TPRM 개념

  • 조직이 외부 파트너, 공급업체, 서비스 제공자 등 서드파티와의 관계에서 발생할 수 있는 리스크를 식별, 평가, 관리 및 모니터링하는 프로세스
  • 규제 준수, 평판 관리, 정보 보안, 재무 리스크 관리

TPRM 절차도, 세부 절차, 주요 사례

TPRM 절차도

TPRM 세부 절차

단계구분내용
1단계계획서드파티 사용 계획 수립, 리스크 평가
2단계서드파티 선정잠재적인 서드파티를 평가, 실사 수행 후 적합한 파트너 선정
3단계계약 협상 및 체결서드파티 계약 협상 및 체결
4단계지속적 모니터링서드파티 성과, 리스크 지속적 모니터링
5단계관계 종료서드파티 관계 종료 관리, 긴급 사태 관리

TPRM 관련 주요 사례

구분사례내용
국내금융사 데이터 유출서드파티 클라우드 보안 취약점으로 인해 대규모 고객 데이터 유출
국외MS CrowdStrikeCrowdStrike 보안 툴의 소프트웨어 업데이트로 인해 글로벌 시스템 장애 발생
-NPM faker.jsNode.js 패키지 faker.js가 개발자의 사보타주로 인하 글로벌 배포 장애

TPRM 고려사항

  • SBOM 도입을 통해 서드파티 소프트웨어의 구성 요소 파악 및 장애, 재해시 위험의 빠른 식별 및 대응 가능
  • 소프트웨어 품질 성능평가를 통해 안정적인 서드파티 소프트웨어 사용