TPRM, 제3자 리스크 관리
· 약 3분
TPRM 개념
- 조직이 외부 파트너, 공급업체, 서비스 제공자 등 서드파티와의 관계에서 발생할 수 있는 리스크를 식별, 평가, 관리 및 모니터링하는 프로세스
- 규제 준수, 평판 관리, 정보 보안, 재무 리스크 관리
TPRM 절차도, 세부 절차, 주요 사례
TPRM 절차도
TPRM 세부 절차
단계 | 구분 | 내용 |
---|---|---|
1단계 | 계획 | 서드파티 사용 계획 수립, 리스크 평가 |
2단계 | 서드파티 선정 | 잠재적인 서드파티를 평가, 실사 수행 후 적합한 파트너 선정 |
3단계 | 계약 협 상 및 체결 | 서드파티 계약 협상 및 체결 |
4단계 | 지속적 모니터링 | 서드파티 성과, 리스크 지속적 모니터링 |
5단계 | 관계 종료 | 서드파티 관계 종료 관리, 긴급 사태 관리 |
TPRM 관련 주요 사례
구분 | 사례 | 내용 |
---|---|---|
국내 | 금융사 데이터 유출 | 서드파티 클라우드 보안 취약점으로 인해 대규모 고객 데이터 유출 |
국외 | MS CrowdStrike | CrowdStrike 보안 툴의 소프트웨어 업데이트로 인해 글로벌 시스템 장애 발생 |
- | NPM faker.js | Node.js 패키지 faker.js가 개발자의 사보타주로 인하 글로벌 배포 장애 |
TPRM 고려사항
- SBOM 도입을 통해 서드파티 소프트웨어의 구성 요소 파악 및 장애, 재해시 위험의 빠른 식별 및 대응 가능
- 소프트웨어 품질 성능평가를 통해 안정적인 서드파티 소프트웨어 사용