做好第三方风险管理（TPRM）须面对8大挑战

随着软件供应链攻击的不断加剧，如何进一步加强第三方风险管理（TPRM）工作已经成为现代企业领导者们关注的焦点。因为，今天的企业组织大量依赖于第三方生态来共同构建产品，并完成对用户的服务交付，因此创建一个有效的TPRM计划对于组织评估潜在的安全风险，管理不断增长的数字攻击面至关重要。

当企业开始实施TPRM计划时，面临困难和挑战是在所难免的，这取决于其第三方生态系统的规模、安全态势以及组织的现有安全状况。日前，安全研究人员总结了企业组织在实施TPRM计划时将面临的最常见挑战： 

• 如何绘制有效地生态系统全景图；

• 如何开展供应商尽职调查和风险评级；

• 如何为供应商设置风险处置优先级；

• 如何开展供应商安全问卷调查；

• 如何增强对所有供应商的安全可见性；

• 如何实现可持续地风险监控；

• 如何构建自动化TPRM流程；

• 如何创建高效的TPRM管理策略。

企业在实施TPRM计划时，面临的第一个挑战就是如何创建其供应商生态系统的完整视图。该视图不仅应包括组织当前所有第三方供应商的清单，还需要包括可能给组织带来潜在风险的第四方服务商。当组织无法有效地映射其供应商时，生态系统中就会产生盲点，并导致组织混乱、缺乏风险可见性、未管理风险的增加以及供应链攻击的机会。

为了绘制完整的生态视图，组织应该在所有内部部门之间共享供应商信息，以有效地映射其整个第三方生态系统。组织还可以通过识别在第三方关系（会计、法律、运营等）中活跃的人员，专门评估每个人所涉及的重要供应商信息（支出报告、合同、订单等），并统一协调供应商信息。在绘制生态系统视图的同时，组织还应该同步设置入驻程序，以便将来添加新的供应商。

TPRM计划实施的另一个常见挑战是确定哪些风险评估措施是审核供应商风险概况时所必需的。而在执行尽职调查时，组织又需要根据哪些因素（包括供应商与敏感数据的接近程度、运营重要性等）对供应商进行风险级别评价？

风险评级可以帮助组织管理和准确评估供应商可能带给组织的潜在风险程度。如果不能有效将风险分级纳入到供应商尽职调查计划，企业将难以确定与该供应商开展业务合作是否安全。为了做好供应商尽职调查和风险评级，组织应该利用成熟的第三方供应商管理工具来协助完成供应商风险水平的评测。

在执行完供应商尽职调查和风险分级之后，组织还需要决定将哪些供应商列为优先进行风险处置和事件响应。通常，对企业业务运营至关重要的供应商可能会获得最高级别的风险处置关注。

 一个完善的供应商风险管理系统应该允许组织主动发现第三方安全风险，按严重程度对安全风险进行排序，并要求供应商及时纠正错误。对于高风险供应商，可能需要更严格的第三方风险管理策略。对于最高风险级别的供应商，可能需要远程或现场审计以确保信息安全。相比之下，低风险的供应商通常只需要例行合规性检查即可。

各种类型的供应商风险评估方法（审计、渗透测试和问卷调查）都有其优点和缺点。现场审计和渗透测试需要大量的资源，包括时间、金钱和专业人员。在这种情况下，大多数组织都会选择自我评价风险的问卷调查方式，这也比较适用于中等及以下风险等级的供应商。

当企业组织在整个供应链中分发安全调查问卷时，要确保每个供应商都能够认真填写问卷，并验证每个供应商答案的有效性，这些都可能给组织带来挑战。为了应对这一挑战，组织应该考虑将问卷调查工作外包给独立的第三方结构，这样可以显著提升问卷调查的有效性。

随着数字化转型发展的深入，企业的供应商生态系统也在不断增长，其安全可见性将变得越来越难以维护。对于组织来说，需要将所有供应商的安全可见性与保护数据隐私的合规要求结合起来，以确保所有供应商都能符合行业性的安全标准。为了应对这一挑战，企业可以利用供应商管理工具在一个集中位置监视所有供应商，并持续性分析整个供应链中每个供应商的合规状态，及时发现其中的违规风险。

在第三方风险管理过程中，很多风险评估方法仅能够评估当前时刻供应商的风险态势。但是，随着业务的推进发展，以及供应商的安全态势不断变化，这可能会使组织无法及时识别出很多动态产生的第三方安全风险。

为了获取到最新的风险视图，组织应该在其TPRM计划中实现连续的风险监控。持续监控可组织带来如下好处： 

• 显著提高第三方安全事件响应指标；

• 提高整个供应商生态系统的持续可见性；

• 消除问卷周期之间可能出现的安全盲点；

• 提供实时的安全状态更新。

随着企业规模的扩大和第三方合作伙伴数量的增加，其TPRM计划的维护将变得更具挑战性。实现自动化是企业加强其TPRM计划的最佳方式。通过自动化流程，企业可以将其TPRM工作标准化，减少风险管理中的错误和疏漏。一些先进的自动化TPRM工具还配备了风险审计工具，可以确保部署的风险控制措施安全有效。

在TPRM实施过程中，企业将面临的最困难的挑战就是如何将风险管理的各个环节融合在一起，形成一个全面、高效的第三方供应商风险管理体系。大量应用实践表明，一个完整的TPRM管理策略应包括以下关键元素：

• 供应商合规标准；

• 供应商在数据泄露事件中的责任；

• 可接受的供应商安全态势和安全等级控制；

• 发生第三方数据泄露或安全事件时的响应计划；

• 组织对战略风险和其他TPRM原则的态度；

• 高级管理层的监督管理制度。 

https://www.upguard.com/blog/tprm-challenges

‍‍‍‍‍‍‍‍‍‍