CYBERSKTHAILAND
Secure Session
พจนานุกรม

ระบบนิเวศและความตระหนัก

ความเสี่ยงจากคู่ค้าและผู้ให้บริการภายนอก (Third-Party Risk)

Third-Party / Supply Chain Risk

สรุปสั้นๆ
Third-Party Risk คือความเสี่ยงที่มาจากคู่ค้า ผู้รับเหมา หรือผู้ให้บริการภายนอกที่เข้าถึงระบบหรือข้อมูลของคุณ

Third-party risk is the risk from vendors, contractors, or service providers who can access your systems or data.

ทำไมคู่ค้าถึงเป็นความเสี่ยง

ผู้ให้บริการไอที ระบบบัญชีคลาวด์ หรือผู้รับเหมาที่เข้าถึงข้อมูลของคุณ หากถูกเจาะ ก็อาจกลายเป็นทางเข้าสู่องค์กรของคุณ ความปลอดภัยของคุณจึงขึ้นกับความปลอดภัยของพวกเขาด้วย

วิธีบริหารความเสี่ยง

  • จัดทำรายชื่อคู่ค้าที่เข้าถึงระบบ/ข้อมูลสำคัญ
  • ระบุข้อตกลงด้านความปลอดภัยและการแจ้งเหตุในสัญญา
  • ให้สิทธิ์เข้าถึงเท่าที่จำเป็นและทบทวนเป็นระยะ

ทำไมบริษัทประกันถึงถามเรื่องนี้

การโจมตีจำนวนมากเข้าถึงองค์กรผ่านคู่ค้าหรือผู้ให้บริการที่ป้องกันตัวเองได้อ่อนกว่า บริษัทประกันถามเรื่องนี้เพราะห่วงโซ่ที่อ่อนแอที่สุดคือจุดที่ถูกโจมตี องค์กรที่ระบุข้อตกลงด้านความปลอดภัยในสัญญาและประเมินคู่ค้าจะได้รับการมองว่าบริหารความเสี่ยงครอบคลุมกว่า

เช็คตัวเอง

สัญญากับผู้ให้บริการภายนอก (Outsource/IT Vendor) ของคุณ ระบุข้อตกลงด้านความปลอดภัยไซเบอร์และการคุ้มครองข้อมูลไว้ชัดเจนแล้วหรือยัง?

ทำแบบประเมินความพร้อม 18 ข้อ

คำถามที่พบบ่อย

  • Supply Chain Attack คืออะไร

    คือการที่แฮกเกอร์โจมตีผ่านซอฟต์แวร์หรือผู้ให้บริการที่เราไว้ใจ แล้วใช้ช่องทางนั้นเข้าถึงองค์กรของเรา ทำให้แม้เราป้องกันดีก็ยังเสี่ยง

  • SME ควรประเมินคู่ค้าอย่างไร

    เริ่มจากคู่ค้าที่เข้าถึงข้อมูลหรือระบบสำคัญ สอบถามมาตรการความปลอดภัยพื้นฐาน ระบุความรับผิดและการแจ้งเหตุในสัญญา และจำกัดสิทธิ์ให้เท่าที่จำเป็น

  • ต้องใส่อะไรในสัญญาบ้าง

    ควรมีข้อกำหนดการรักษาความปลอดภัยข้อมูล การแจ้งเหตุละเมิดภายในกรอบเวลา สิทธิ์การตรวจสอบ และความรับผิดเมื่อเกิดเหตุจากฝั่งผู้ให้บริการ

CYBERSK
PDPA-Aligned · Secure by Design © 2026 CyberSK · All rights reserved.