2023年竟已接近尾聲，2024年又該如何呢？安全和第三方風(fēng)險(xiǎn)管理的正忙于總結(jié)過(guò)去，展望未來(lái)。調(diào)查顯示，僅有16%的組織表示，在過(guò)去的一年里他們有效地管理了第三方風(fēng)險(xiǎn)，我們需要重新審視現(xiàn)有流程效率的機(jī)會(huì)。

平均而言，一個(gè)組織會(huì)與88個(gè)第三方共享敏感或關(guān)鍵信息。對(duì)于員工超過(guò)10,000人的組織，這一數(shù)字增至173。這意味著第三方風(fēng)險(xiǎn)管理團(tuán)隊(duì)需要花費(fèi)大量時(shí)間進(jìn)行評(píng)估，而安全團(tuán)隊(duì)則需花費(fèi)約三分之一的時(shí)間回應(yīng)安全問(wèn)卷。因此，與供應(yīng)鏈伙伴合作是十分重要。

盡管在評(píng)估第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)方面進(jìn)行了大量投資，但是，在分析結(jié)果和確定組織接下來(lái)應(yīng)采取行動(dòng)之間仍然存在差距。大多數(shù)評(píng)估最終并未轉(zhuǎn)化為實(shí)際行動(dòng)。

一、全球監(jiān)管正在推動(dòng)第三方風(fēng)險(xiǎn)管理的透明度

全球各地的監(jiān)管和合規(guī)要求都在強(qiáng)調(diào)確保供應(yīng)鏈的完整性。無(wú)論是美國(guó)最近的SEC網(wǎng)絡(luò)風(fēng)險(xiǎn)披露規(guī)則、澳大利亞的CPS-234、歐洲的DORA，還是加拿大的OSFI TPRM指南，第三方風(fēng)險(xiǎn)管理都是全球企業(yè)的關(guān)注重點(diǎn)。雖然一些監(jiān)管嚴(yán)格的行業(yè)可能已經(jīng)建立了成熟的第三方風(fēng)險(xiǎn)管理項(xiàng)目，但仍有許多組織現(xiàn)在才開始建立他們的項(xiàng)目。

這種監(jiān)管重點(diǎn)為第三方風(fēng)險(xiǎn)管理和安全團(tuán)隊(duì)在組織內(nèi)部及與第三方合作伙伴之間的生態(tài)系統(tǒng)安全提供了新的機(jī)遇。組織需要重新考慮其第三方風(fēng)險(xiǎn)管理方法以及與供應(yīng)商的關(guān)系。

二、通過(guò)合作提高全球安全水平

大多數(shù)安全評(píng)估每年進(jìn)行一次，組織向其供應(yīng)商發(fā)送安全評(píng)估，供應(yīng)商的安全團(tuán)隊(duì)需要幾天到幾周的時(shí)間來(lái)完成，完成后通常就不再有后續(xù)動(dòng)作。這種傳統(tǒng)做法并不體現(xiàn)真正的伙伴關(guān)系。

現(xiàn)在，想象一下，如果安全團(tuán)隊(duì)不是通過(guò)電子表格或ITVRM平臺(tái)進(jìn)行年度評(píng)估，而是花時(shí)間與供應(yīng)商合作，共享最佳實(shí)踐，并共同解決關(guān)鍵安全問(wèn)題，情況將如何？如果一個(gè)擁有成熟第三方風(fēng)險(xiǎn)管理項(xiàng)目的組織能夠抽出時(shí)間與剛起步的供應(yīng)商分享最佳實(shí)踐，會(huì)有什么效果？

這將建立一種真正的伙伴關(guān)系，供應(yīng)商更有可能響應(yīng)其客戶的需求，解決安全問(wèn)題，并推動(dòng)雙方的責(zé)任。最終，組織能夠通過(guò)評(píng)估加強(qiáng)與供應(yīng)商的關(guān)系，并推動(dòng)了安全的改善。

三、行動(dòng)計(jì)劃介紹：與您的供應(yīng)鏈伙伴無(wú)縫合作

什么是行動(dòng)與計(jì)劃？這是一種讓組織與其生態(tài)系統(tǒng)無(wú)縫合作并提升安全級(jí)別的方式。行動(dòng)計(jì)劃幫助客戶通過(guò)一個(gè)儀表板與內(nèi)部利益相關(guān)者和第三方進(jìn)行簡(jiǎn)化的協(xié)作，生成動(dòng)態(tài)的修復(fù)計(jì)劃，優(yōu)先處理關(guān)鍵漏洞，分派特定人員解決問(wèn)題，并實(shí)時(shí)查看進(jìn)展，從而節(jié)省時(shí)間并減少生態(tài)系統(tǒng)風(fēng)險(xiǎn)。

行動(dòng)計(jì)劃將通過(guò)以下方式根本改變第三方風(fēng)險(xiǎn)管理：

1. 能夠精確識(shí)別風(fēng)險(xiǎn)，并立即制定特定的修復(fù)計(jì)劃，以達(dá)到所需的評(píng)分，從宏觀到微觀，或是針對(duì)符合風(fēng)險(xiǎn)偏好的特定問(wèn)題。
2. 實(shí)時(shí)掌握解決情況，能夠協(xié)作、獲取進(jìn)展更新、提出澄清問(wèn)題，并在一個(gè)儀表板上統(tǒng)一展示，簡(jiǎn)化溝通成本。
3. 一個(gè)可擴(kuò)展的工作流程，使第三方風(fēng)險(xiǎn)管理團(tuán)隊(duì)能夠與整個(gè)供應(yīng)鏈合作。對(duì)供應(yīng)商解決狀態(tài)的整體視圖給安全團(tuán)隊(duì)和VRM團(tuán)隊(duì)提供了信心，讓他們知道注意力應(yīng)該放在在哪里，哪里需要驅(qū)動(dòng)規(guī)模解決。