每个企业都依赖第三方供应商提供服务、技术或其他组件。但随着供应商的增加，企业的供应链都会面临：攻击面扩大和风险增加。事实上，第三方供应商内部的任何风险都可能延伸到其所有相关企业，从而扩大风险的范围和影响。下面让我们了解供应商风险管理 (VRM)。 

什么是供应商风险管理？ 

VRM是识别、评估、缓解和监控第三方供应商的风险的过程，这些第三方供应商向企业提供技术或服务。在整个供应商管理生命周期中，VRM都很重要，从选择和确定供应商到日常运营，再到关系结束。 

VRM保护企业免受与供应商关系相关的中断，包括数据泄露、勒索软件攻击和合规违规。 

VRM可帮助解决网络安全风险，最近我们看到很多供应链数据泄露事件，特别是2020年的SolarWinds黑客攻击。在那次备受瞩目的网络攻击中，攻击者入侵SolarWinds的Orion IT监控和管理平台，导致部分数据泄漏，并影响该平台的很多用户。 

为什么供应商风险管理很重要？ 

没有现代企业孤立地运作。每个企业都依靠供应商来运营，这也是供应商风险管理在企业运营中越来越重要的原因。

以下方面突出VRM的关键业务重要性： 

• 数据泄露防御。如果没有适当的VRM政策，第三方服务更容易受到数据泄露的影响。VRM详细介绍了第三方风险暴露，减轻数据泄露风险。 

• 业务连续性。VRM评估关键业务流程的运营复原力，从而支持业务连续性。 

• 供应链可见性。VRM不仅识别第三方风险，还识别第四方风险（供应商的供应商），提供对企业扩展供应链的可见性。 

• 监管合规性。了解和管理第三方风险是很多法规的要求，包括《萨班斯–奥克斯利法案》、《支付卡行业数据安全标准》（PCI DSS）和健康保险可移植性和问责制法案（HIPAA）。 

• 商业声誉。第三方供应商糟糕的安全做法、对敏感数据的处理不当或未能达到服务标准，都会对企业的声誉产生负面影响。VRM可在事件发生之前确定可能存在声誉风险的供应商。 

• 责任明确。VRM确保公司和供应商的问责制都得到明确理解，最大限度地减少出现问题时对责任的混淆。 

• 供应商质量。定期评估和持续监控有助于供应商在整个关系中保持高标准，提高每个人的服务质量。 

供应商风险的常见类型 

在与第三方供应商合作时，企业面临各种风险。了解这些不同的风险类别对于制定VRM策略至关重要。常见的供应商风险类型包括： 

网络安全风险 

网络安全风险是指对供应商的网络攻击的影响。这个日益严重的风险类别包括：性能下降或数据泄露导致的重要信息丢失。这种影响因行业而异，医疗保健和金融部门面临特别严重的后果，即使是轻微的违规行为。 

为什么评估这个风险很重要：安全实践不佳的第三方供应商会带来巨大的风险，无论企业的内部安全控制如何。例如，攻击者利用供应商薄弱的网络安全，最终可访问企业的敏感数据，使第三方供应商的安全风险成为相关企业的安全风险。 

运营风险 

运营风险涉及因供应商服务部分或完全停止而导致的企业工作流程中断。这些中断通常源于供应商内部流程、员工流失或服务质量下降的问题。 

为什么评估这个风险很重要：供应商的运营失败直接影响相关企业为客户提供服务、满足最后期限和保持质量标准的能力。评估运营风险确保供应商达到所需的服务水平，并制定自己的业务连续性措施。 

财务风险 

当供应商无法按合同所述履行时，当他们面临破产问题或突然倒闭时，就会出现财务风险。 

为什么评估这个风险很重要：在签订业务协议之前，企业需要充分了解供应商的历史——财务和其他方面。第三方供应商的财务不稳定往往会导致成本增加、收入损失、服务中断，甚至关键服务突然终止。 

声誉风险 

声誉风险涉及供应商的行动或失败对企业的公众形象的损害。 

供应商的行为和公众的看法有时会直接影响企业的声誉。围绕关键供应商的负面宣传（来自不良商业惯例、道德失误或安全事件）会损害企业的品牌。 

为什么评估这个风险很重要：声誉会影响商业成功。第三方供应商粗心大意地处理敏感数据、不符合公司标准的互动或他们自己的公共丑闻，都可能损害企业的声誉。任何供应商安全泄漏事故，泄露客户数据，通常会对相关企业造成持久的声誉损害，即使错误完全在于供应商。 

监管和合规风险 

当供应商未能满足监管要求，这可能会给企业带来风险。不同行业对处理特定类型数据或提供特定服务的供应商有特定的合规要求。例如，医疗保健提供者在处理患者信息时必须确保其供应商遵守HIPAA法规。 

为什么评估这个风险很重要：如果供应商被攻击并泄漏个人身份信息，例如客户的社会保障号码或医疗保健记录，法律明确规定由企业负责，而不是其供应商。根据行业的不同，不遵守《通用数据保护条例》、《HIPAA》或《PCI DSS》等法规将导致重大罚款和法律诉讼。 

如何进行供应商风险评估 

供应商风险评估的结构化方法可确保对潜在风险的全面评估。以下是要遵循的分步流程： 

• 集合内部利益相关者。建立一个跨职能团队，代表具有不同优先级的多个角色。该团队将计划和指导评估计划，确保企业范围部署和长期成功。 

• 定义可接受的风险水平。在评估潜在供应商之前，定义企业的风险偏好。这使得供应商选择过程更加高效，识别出不符合所需风险容忍度的供应商。它还澄清了在与供应商合作之前需要供应商进行哪些控制。 

• 构建供应商风险评估流程。继续进行明确的控制和要求。从内部分析评估开始；根据对供应链的重要性和对敏感数据的访问等因素对供应商进行分类。此分类决定了每个供应商组的评估类型、范围和频率。 

• 发送供应商风险评估问卷。可以发送不同类型的问卷。行业标准问卷（例如标准化信息收集SIG），可用于收集供应商信息。根据企业的需求，还提供定制的问卷。在设计问卷时，考虑使用NIST网络安全框架等框架，以确保它们反映行业最佳实践。 

• 采用持续的风险监控。VRM不是时间点练习。持续监控对于识别定期评估之间出现的网络、业务和声誉风险至关重要。这种监控还验证了供应商评估响应是否与现实世界的安全实践保持一致。 

• 对风险进行分类和修复。在定期评估期间或通过持续监测发现的风险必须归类为可接受或不可接受。对于不可接受的风险，企业与供应商合作进行修复，或者如果问题无法解决，则终止关系。 

• 建立明确的报告预期。报告必须包括总结供应商风险组合主要要素的标准指标。确保所有利益相关者都能轻松理解报告，并包含适当详细说明风险的信息。 

供应商风险管理的挑战 

开发和维护供应商风险管理实践并非易事。以下是常见的VRM挑战： 

• 获得利益相关者的认同。说服高管和利益相关者相信VRM的重要性是很难的，尤其是没有明显的投资回报率。 

• 识别供应商。有些大型组织没有集中的位置来管理所有供应商。了解正在使用什么以及谁在日常使用是一项复杂的任务。 

• 评估风险。准确的风险评估需要专业知识和资源。在电子表格上手动输入很耗时，而且容易出现人为错误。 

• 管理供应商。即使是小型组织，也经常有很多供应商。处理多次评估有时会压倒团队，尤其是那些资源有限的团队。 

• 与不愿合作的供应商打交道。有些供应商没有提供完整或及时的信息，这增加评估的困难。 

• 遵守法规。不断变化法律和标准会进一步增加复杂性，遵循最新的法律和标准也很难。 

• 不断发展的威胁环境。安全威胁和漏洞的性质不断变化，需要不断更新评估标准和控制措施。 

• 分配资源。为VRM活动获得足够的预算和人员是另一个障碍。 

成功VRM策略的四个关键 

考虑以下四个基本要素，以建立和维护成功的VRM策略： 

1.定义明确的VRM政策。制定正式文件，概述组织应对供应商风险的方法，包括风险容忍度、评估方法和治理结构。 

2.采用供应商分层和细分。并非每个供应商都有相同的影响。由于有数百个（有时是数千个）第三方，对每个供应商进行相同程度的审查是不可能的。创建一个分层系统，让安全团队在高风险关系中投入更多资源，同时保持对所有关系的基线监控。 

3.在整个供应商生命周期中嵌入VRM。在供应商关系的每个阶段整合风险管理。这包括以下内容： 

• 在采购和选择过程中，确定并入围低风险供应商。 

• 在签约期间，在授予系统访问权限之前作为尽职调查。 

• 定期检查服务级别协议并评估合同遵守情况。 

• 在结束期间，确保系统访问被终止，数据受到保护。 

4.制定应急计划。为供应商中断做好准备。为关键供应商创建书面响应计划，包括替代供应商和运营变通办法。 

供应商风险管理工具、框架和资源 

现在有多个既定的框架和工具来帮助企业发展和增强其VRM能力。下表介绍了一些可用资源： 

范围	资源	描述	最适合用于	链接
标准问卷	SIG	行业标准问卷, 带有“SIG Lite”选项，用于不太复杂的评估	跨多个领域的广泛安全控制评估	Shared Assessments SIG
	共识评估倡议问卷(CAIQ)	云安全联盟问卷专注于云安全控制	云服务提供商评估	CSA CAIQ
	供应商安全联盟问卷 (VSAQ)	由领先的科技公司创建的以网络安全为重点的问卷	网络安全态势评估	Vendor Security Alliance
供应商评估框架	NIST 网络安全框架	五个核心功能：识别、保护、检测、响应、恢复	全面的网络安全计划评估	NIST CSF
	ISO 27001	信息安全管理系统的国际标准	系统信息安全计划评估	ISO 27001
	COBIT	针对IT治理和管理等ISACA框架	IT控制环境评估	COBIT Framework
VRM 技术解决方案	GRC 平台	治理、风险和合规管理的综合选项	企业范围的风险管理计划	Gartner GRC Tools Guide
	安全评级服务	独立安全态势评估	客观的安全性能指标	BitSight / Security  Scorecard