评估供应商风险管理处理方案 需要考虑这几个关键点
发布时间:2022-05-20 08:32:14 所属栏目:安全 来源:互联网
导读:今年,供应商风险管理(VRM)领域快速跻身热门话题之列。好像无论转到哪里,总有提供VRM解决方案的新公司冒头。但正如安全行业中其他细分市场所见,VRM领域里的大多数供应商也用的是千篇一律的营销潮词。一家一家看过去,好像他们的产品功能特点都是相同的。想
|
今年,供应商风险管理(VRM)领域快速跻身热门话题之列。好像无论转到哪里,总有提供VRM解决方案的新公司冒头。但正如安全行业中其他细分市场所见,VRM领域里的大多数供应商也用的是千篇一律的营销潮词。一家一家看过去,好像他们的产品功能特点都是相同的。想要区别出这些一窝蜂冒出来的新厂商还真挺难的。 有几点可供参考: 1. 没有通用这回事 虽然各种规定、标准和行业间在安全控制方法上确实有很大重合,但这种重合距离完全重叠还远得很。基于所处行业、公司规模、地理位置、数据类型、电子访问方式等众多因素,在评估第三方带来的风险时,公司企业考虑的重点各不相同。半导体行业的公司企业担忧的地方,肯定与金融行业的不同。能源产业、医疗行业、政府部门等等各自有各自的考量。如果摆在你面前的VRM选项只有一套“通用”评估模式,不能导入专门解决你特定问题的自定义评估方法,那还是换一家看看吧。 2. 扫描不足 从外部扫描供应商的边界可以为其整体安全态势提供有用的洞见吗?当然可以。但很遗憾,这种扫描本身存在不足。扫描无法告诉我们有关供应商人员、过程和策略的信息,也无法告诉我们“内部”的日常是怎样的,更无法告诉我们供应商是如何保护/毫不防护敏感信息的。而这些,全都是真正定义供应商安全项目在管理和缓解风险上表现的关键部分。 3. 指标 在受电子表格、电话和面谈驱动的VRM世界里,标准难找毫不令人意外。我们或许能够针对少数供应商收集数据,给出有关他们各自安全态势的评估。但在供应商之间做比较?你想多了。跟踪暴露出的问题/漏洞并及时加以解决?没门儿。从集中式管理平台内部维持与供应商之间组织良好且有记录的通信?不行。了解每家供应商的进展和各不同门类供应商每年的进步?想都不用想。条分缕析各有侧重的多种不同报告形成全面风险评估?别再用老一套了。无法提供所有这些功能的VRM厂商?下一家下一家。 4. 基准 知道供应商给自家企业引入的风险固然很棒,但知道自身风险或供应商给自己带来的风险相对于同样地理位置、同个行业、相同公司规模或其他相同的其他公司的情况,不是更好?这可是VRM解决方案里面超级重要的一个方面。如果你的VRM提供商给不出基准,那还是考虑换一家吧。 5. 驱动决策 最终,公司企业需了解自身风险,以此了解为基础,做出需采取哪些缓解措施的可行决策。可以被纳入考虑的VRM提供商,必须是能驱动该决策过程,而不是对抗之的。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐