建立供应商清单：第三方事件响应的基础

艾希莉：大家好。艾希莉：周三快乐。艾希莉：很高兴大家能来参加。艾希莉：希望你们今天过得愉快。艾希莉：现在请大家花一分钟调整状态，做好准备。艾希莉：趁此间隙，我将启动首个投票环节。艾希莉：我们想了解各位参与本次研讨会的动机。 艾希莉：是出于学习需求？艾希莉：还是刚踏上TPRM管理之旅？艾希莉：或是现有客户？艾希莉：抑或纯粹喜欢鲍勃和斯科特？艾希莉：无论何种原因，请告诉我们。艾希莉：当然不能忘记自我介绍环节。艾希莉：我是艾希莉。艾希莉：在Prevalent公司负责业务拓展。艾希莉：今天我们还邀请到几位特别嘉宾：艾希莉：网络马拉松解决方案公司CEO鲍勃·威尔金森。艾希莉：鲍勃，近来可好？

鲍勃：进展顺利，艾希莉。

艾希莉：还有我们自己的产品营销副总裁，斯科特·朗。艾希莉：最近怎么样，斯科特？

斯科特：嘿，艾希莉。斯科特：今天过得棒极了。

艾希莉：很好。艾希莉：呃，先说明几项注意事项。艾希莉：本次网络研讨会正在录制，结束后我们将立即发送录播视频及演示文稿。艾希莉：目前各位的麦克风均处于静音状态，但我们非常欢迎互动参与。阿什利：请将问题提交至问答区，我们将在研讨会结束时集中解答。阿什利：那么今天，鲍勃将分享他关于高效构建供应商库存的见解。阿什利：话不多说，鲍勃，现在请您开始分享。

鲍勃：好的。鲍勃：非常感谢，艾希莉。鲍勃：欢迎各位。鲍勃：我们将讨论供应商清单及其在应对第三方安全事件时发挥的作用。鲍勃：正如某位专家所言："有些公司知道自己遭到了黑客攻击，而另一些公司则尚未意识到这一点。"鲍勃：这确实是我们必须未雨绸缪的挑战。鲍勃：而应对安全事件的关键准备工作之一，就是全面掌握供应商清单。鲍勃：这不仅涉及第三方，还包括所有分包商、第四方乃至第五方。鲍勃：更延伸至组织可能使用的第三方软件。鲍勃：我们可以通过多种维度进行分析：鲍勃：我们的数据究竟存储在何处？鲍勃：是在本土？鲍勃：还是在海外？鲍勃：我们是否真正掌握了所有这些信息？鲍勃：今天我们将从近期事件切入，重点探讨曾经因罕见性被称为"黑天鹅事件"的现象如今正变得司空见惯，这种趋势如何给企业带来巨大压力。鲍勃：接着我们将概述事件管理框架，并探讨延伸供应链的事件管理策略。鲍勃：随后将介绍构建全面供应链清单的技术方法，分析清单创建过程中的风险点及注意事项。鲍勃：接着我们将探讨可能引发事件的触发因素，这些因素需要纳入您的计划考量。鲍勃：那么在构建清单的过程中，哪些关键第三方利益相关者能帮助我们提升效率？哪些角色不应被忽视？Bob：接着我将深入探讨将第三方划分为风险领域（risk domains）的价值，这种分类如何有效帮助组织控制风险，并聚焦特定供应商关系中真正重要的管控措施。Bob：每当我们讨论事件管理时。

鲍勃：每当我们讨论库存管理时，必须强调合作第三方的重要性。鲍勃：我们需要聚焦哪些方面来判定这些第三方的关键性？鲍勃：在此基础上，我们将探讨第三方入驻流程及其对确保库存准确性的重要作用。 鲍勃：接着我们将探讨持续监控机制，并提醒大家注意持续监控中的关键事项——需认识到与第三方建立的关系会随时间演变，因此必须建立定期复盘流程，确保我们始终清晰掌握合作关系的本质。鲍勃：因为关系确实会随时间变化，最后我们将总结本次讨论的核心要点。鲍勃：那么进入正题，以下近期事件有何共同点？鲍勃：关键在于这份清单还在不断增长，且都是重大事件。鲍勃：苏伊士运河接连发生多起船舶堵塞事件，导致全球供应链受阻。鲍勃：近期巴尔的摩发生严重事故，货轮撞击桥梁导致港口瘫痪，不仅对商业活动造成连锁影响，更波及当地居民生活。鲍勃：大家都知道新冠疫情，但提醒那些可能不关注此事的人——H5N1禽流感现已成为美国问题，若不立即采取充分应对措施，它可能成为下一个危机。鲍勃：十五年前我亲历过墨西哥禽流感爆发，那场灾难极其可怕，我认识的人因此丧生。鲍勃：所以这些都是严肃的事。鲍勃：最近赌场遭遇勒索软件攻击的事件想必大家都听说过——某赌场支付赎金后向会员发通知说"我们付了钱，数据安全"，但事实未必如此；而另一家拒绝支付赎金的公司，最终耗费四倍资金才处理完攻击后果。气候变化也是同理。

鲍勃：嗯，如果你这周在美国，接下来几天很可能要经历连续的90华氏度高温，因为热穹顶现象正在发威。鲍勃：近期我们目睹了多起针对第三方软件的攻击事件，这些软件对互联网基础设施至关重要——SolarWinds、Log4j、MoveIt等。当此类事件发生时，我们往往难以确认自身是否使用相关软件，缺乏有效的可视化监控，导致响应时间延长，使所有组织面临更大风险。归根结底，情况正日益恶化，我们曾称之为"黑天鹅事件"的无限事故正变得司空见惯。鲍勃：那么让我们从事件管理开始探讨。当我们思考此事时，组织内部建立一套经过开发、文档化、共享且测试完善的流程，对事件响应能力至关重要——而这个流程涉及多重维度。Bob：但若流程定义不完善且未预先测试，关键时刻很可能失灵。Bob：完善的事件管理流程能增强运营韧性，最大限度减少业务中断。鲍勃：事件发生后，首要任务是在接报后进行分级处理。鲍勃：我们通常采用的表述是：存在某事件，但尚未明确事件性质。鲍勃：通过分级处理，我们确认其为事件后，再评估潜在影响与紧急程度，从而确定处理优先级。鲍勃：并非所有异常事件都构成事件，我们需要通过流程判断其性质。鲍勃：为此我们已制定并记录流程，完成测试，并与业务部门开展桌面演练，确保所有相关人员都了解应对措施。鲍勃：接下来，我们进行事件检测。

鲍勃：在此，关键在于我们必须在环境中建立有效的检测和监控机制，以便及时察觉事件发生。鲍勃：我们将对事件进行分级处理并分析，以确定其严重程度、影响范围及处理紧迫性。鲍勃：随后我们将着手控制事件，开展恢复工作，尽快为客户恢复服务。鲍勃：而整个流程中至关重要的一环，是事后跟进工作。鲍勃：我们从中汲取了哪些教训？鲍勃：我见过太多企业遭遇安全事件后，鲍勃：既未能从中吸取经验，鲍勃：也未对系统进行修正，最终再次遭受相同事件的打击。Bob：因此，在恢复后投入时间进行追踪，汲取事件教训至关重要。Bob：涉及第三方事件管理时，Bob：准确且可即时调用的第三方清单对高效管理事件响应、保障企业服务可用性具有决定性作用。 鲍勃：谈及延伸供应链时，必须认清多数事件的源头。鲍勃：而追溯源头时，关键在于理解多数事件始于第三方。鲍勃：鲜为人知的是，这些第三方事件往往源自第四或第五层供应商。Bob：因此我主张的做法是：一旦确定关键业务流程，就应集中精力厘清该流程涉及的所有关联方。鲍勃：你的关键第三方可能又在使用第四方和第五方。鲍勃：与其试图覆盖所有第三方，不如深入探究这些第四方和第五方的真实身份。鲍勃：总要从某个起点开始。鲍勃：若选择从关键第三方入手，务必厘清其关联链条中涉及的第四方和第五方主体。

鲍勃：因为一旦发生事故，很可能会有第三方、第四方甚至第五方卷入其中——这并非是否会发生的问题。鲍勃：总裁。 鲍勃：还需谨记，与第三方签订的合约条款中必须包含三大关键要素：审计权——赋予你进行风险评估的权利；第三方必须承诺整改发现的问题；鲍勃：第三点是：一旦发现可能发生的事件，他们必须立即通知你。该条款同样约束第三方分包商、第四方及第五方，要求他们遵循你公司与第三方合同中规定的相同流程和条款。鲍勃：随着针对第三方软件的攻击日益增多，企业需要建立第三方软件供应商清单。鲍勃：通常在软件开发组织内部，安全部门或软件架构职能部门会维护所有第三方软件的清单。鲍勃：若已建立此清单，它将成为关键要素。鲍勃：若能将该清单与第三方软件清单关联，当第三方软件发生安全事件时，您就能快速响应——既能定位该软件在企业内部的使用场景，也能判断事件是否会对您造成影响。鲍勃：那么我们面临的主要第三方清单风险有哪些？鲍勃：哎呀。鲍勃：我好像跳过了一张幻灯片。鲍勃：抱歉。鲍勃：当建立供应链库存清单时，通常如何操作？鲍勃：多数人会逐个业务部门询问："能否提供贵部门使用的所有第三方供应商清单？"鲍勃：这种手动流程往往导致报告不完整，最终形成的第三方库存清单也存在缺漏。Bob：我与企业合作时常采取的做法是：直接找应付账款部门人员，要求他们提供过去两年内所有付款对象的清单——涵盖所有供应商及第三方服务商。

鲍勃：因为如果你的公司需要支付款项，那份供应商名单就是真实的。鲍勃：还需注意，某些组织可能采用联合式或更分散的架构，你可能需要向多个应付账款部门提出查询。如今涌现出许多工具，能帮助你识别公司与第三方、以及第三方关联的第四方、第五方之间可能存在的业务关系。鲍勃：借助这类软件，你将发现前所未知的关联网络。Bob：当发现不同职能部门的库存存在重叠时，还能助你理解连锁反应机制。Bob：例如某第三方仅向你提供服务，但可能存在多个第三方依赖第四方的场景——无论是网站托管、呼叫中心运营还是其他业务环节，你都会发现连锁反应效应：供应链下游存在地域集中风险。Bob：若前期投入时间确保数据完整性，并善用现有工具，就能发现那些原本无从知晓的第三方及延伸供应商关系。Bob：那么具体有哪些库存风险可能引发应急响应及其他环节的问题？鲍勃：最明显的是库存不完整。鲍勃：构建库存时必须确保涵盖所有关键关联字段。鲍勃：常被忽视的一点是：不仅要记录公司名称，更要明确其服务提供地。Bob：例如，若您使用IBM数据处理服务时声明"在IBM纽约总部"，但实际服务可能并非位于纽约。Bob：这些服务很可能由孟买、新加坡或其他全球节点提供。

鲍勃：你需要了解服务是从何处提供的，因为这牵涉诸多影响因素——尤其当发生突发事件时，当地法规可能成为解决问题的障碍。鲍勃：在突发事件中，掌握第三方、第四方及第五方的最新联络信息至关重要。能否及时联系他们获取关键信息，将决定事件处理的成败。鲍勃：这意味着你需要定期——无论是每3、6或12个月——与第三方、第四方核对，确保相关人员仍在岗且仍是事件发生时的正确联系人。鲍勃：正因如此，定期测试事件管理和响应流程至关重要，因为随着时间推移，你可能会发现流程断点。鲍勃：因此，识别关键供应商并将其纳入清单、了解第三方可能接触的机密信息量、掌握第三方如何接入您的网络及潜在风险暴露点，都是清单管理的重要环节。鲍勃：此外，供应商关系会随时间变化。鲍勃：因此至少应建立流程，针对关键第三方每年复核一次，确保合作关系未发生重大变化。鲍勃：与第三方之间的关系。 鲍勃：典型表现之一是试点项目中数据共享规模微小。鲍勃：但该试点项目去年已转为正式实施，最初仅共享100条客户记录。鲍勃：如今共享量已达1000万条。鲍勃：第三方供应商可能从最初的简单数据处理，发展到如今处理机密信息。鲍勃：若不定期复核供应商关系的变化，企业将面临重大风险敞口。鲍勃：管理清单的另一要点是避免使用Excel表格。鲍勃：自动化是实现可扩展性的关键，任何第三方风险管理计划若缺乏集中化的自动化清单管理，都将难以持续。

鲍勃：这会导致漏洞，而漏洞会引发事件。鲍勃：另一个风险是关键供应商的扩展供应链存在不完整性。鲍勃：你需要了解第四方和第五方是谁，特别是对于关键业务流程而言。鲍勃：某些因素可能触发事件，进而导致——嗯——安全事件。鲍勃：这些因素必须时刻警惕，一旦触发就该回溯核查第三方，了解相关变更情况。鲍勃：数据泄露事件发生时，显然需要追溯第三方环节的成因——确认其是否采取了纠正措施，或是风险暴露仍在持续。鲍勃：所有权变更——无论是通过合并、收购、剥离还是其他形式——通常意味着职能与系统将被整合。鲍勃：数据处理节点可能迁移，此类变动将对业务运营造成重大中断风险。鲍勃：需时刻警惕监管政策变动——这常是企业内部问题的根源。近期FFIC在第三方风险管理方面的政策调整已于数月前发布，理解这些变化对贵机构的影响至关重要。鲍勃：数据中心的迁移——无论是转移至海外物理位置，还是当下更常见的云端迁移——都可能导致信息暴露并引发安全事件。鲍勃：必须确保在资产清单中完整记录所有数据处理环节。鲍勃：云端环境尤为复杂，云服务商常声称"我们代您处理数据"。Bob：但您必须要求他们明确说明数据在云端实际存储和处理的位置。Bob：此前AWS和Azure都发生过多起高调的文件中断事件——您可能以为云端有冗余数据中心，但它们都位于东海岸。一旦亚马逊东海岸服务中断，您的业务就会彻底瘫痪。Bob：因此必须对此保持清醒认识。

鲍勃：嗯，我们刚才讨论的新业务功能扩展或业务量重大变化会成为触发因素，你需要理解这些变化可能对组织产生的影响。鲍勃：最后，第三方财务状况恶化也是明确的触发点。鲍勃：这可能导致第三方停业，从而使你失去相关功能。鲍勃：通常你会有相当充分的预警，特别是当你持续监控第三方财务状况时。鲍勃：当他们陷入困境时，首先采取的措施就是削减开支。Bob：当企业缩减开支时，最先被削减的就是管控措施。Bob：因此，了解这些事件触发点有助于您预判风险源头，并采取主动措施加以防范。鲍勃：关于TPRM管理对象的利益相关方——我认为构建跨组织关系至关重要，需与所有关键合作方建立联系。鲍勃：例如，我见过太多试图孤立运作的第三方管理项目。Bob：企业体量庞大，可能存在官僚体系，但花时间建立联系至关重要。我始终建议从采购部门着手，因为业务部门通常通过他们建立合作关系，并与新第三方签订合同——这能让你第一时间掌握公司新引入的第三方供应商信息。Bob：我们见过太多案例——第三方项目组在合同签署次日才接到通知，而新供应商周一就要上岗，对方只会说："哦，去做个第三方风险评估吧。"Bob：这恐怕是最令人尴尬的处境了。

鲍勃：因此，通过与采购团队建立这种关系，可以避免此类情况发生。主动联系业务部门，了解他们的核心业务计划，并确认这些计划是否涉及第三方合作，这样就能在项目初期就与业务部门建立伙伴关系，及早解决潜在问题。这既能确保项目按计划推进，也能让业务部门更快地利用第三方资源。鲍勃：嗯，运营和技术职能部门，特别是涉及业务连续性与灾难恢复等领域时。鲍勃：若你刚起步并试图确定关键第三方供应商，最佳切入点是咨询业务连续性与灾难恢复团队的成员。鲍勃：他们清楚哪些是公司关键的第三方供应商。Bob：财务和应付账款部门——他们负责支付账单。Bob：他们清楚资金流向。Bob：法律合规团队与采购部门及业务单元同样重要。Bob：多数第三方通过法律合规渠道进入组织，所有引入的第三方都需符合法律法规要求。Bob：因此与法律合规团队建立联系至关重要。 鲍勃：最后是企业风险管理。鲍勃：在企业风险管理领域，通过讲述项目进展、重点工作内容，并分享面临的挑战，你可以借助企业风险管理团队的力量，向高层管理团队及整个组织突出这些变革，提升项目可见度。Bob:同时也能帮助董事会理解公司内部动态。Bob:因此在我看来，若想建立成功的第三方风险管理项目，明确利益相关方身份、建立合作关系并与之协作，是实现目标最有效的方式之一。Bob:风险领域分类。

鲍勃：所以我的意思是，在引入第三方服务商时，你们是否会根据其提供的功能或服务类型进行分类？或者依据其他标准，比如他们是否接触到个人身份信息（PII）或个人健康信息（PHI）？鲍勃：另外需要考虑的因素还包括：服务或产品是从何处交付的？鲍勃：是在本地还是离岸？Bob：通过这种分类，你们能清晰掌握为业务提供的服务类型。当业务部门提出"需要第三方完成X任务"时，这种分类体系尤其有用——它还能与采购部门共享信息。这样当业务方要求寻找X类服务商时，你们能立即查阅现有供应商库，发现已有三四家第三方正提供完全相同的服务。鲍勃：降低第三方风险管理计划成本的最佳方式之一，就是避免重复引入提供相同功能的新供应商。Bob： 这并非要求仅保留单一供应商——冗余机制确有必要，但无需五家企业重复提供相同服务。 Bob：当您优先选用已为贵司提供服务的现有供应商而非新签约方时，风险便随之降低：您共享的信息量减少了，向外部开放的基础设施访问权限也相应缩减。 Bob：你与现有第三方建立了成熟的合作关系。Bob：这种关系可从战术层面提升至战略层面并持续扩展，且无需反复进行新的风险评估或额外监控——这些工作你早已完成并落实到位。Bob：对我而言，这绝对是讨论的核心要点。Bob：企业使用的第三方服务商数量正快速增长。Bob：据观察，年增长率可能达到10%。Bob：但没人会额外拨付10%的预算或资源，来管理这些新加入第三方风险管理计划的服务商。

鲍勃：因此，要有效控制风险并提升管理效能，最佳策略是在现有第三方服务商已提供服务的情况下，对新增第三方合作方保持审慎态度。鲍勃：这种风险领域分类法能显著提升项目整体风险管理效率，并切实减少事件发生频率。鲍勃：合作第三方越少，事件发生概率越低，同时项目总拥有成本也会下降。鲍勃：第三方服务的关键性。鲍勃：在资产清单中建立并记录这一点至关重要。鲍勃：哈哈。鲍勃：第三方服务的关键性决定了你该把稀缺资源投向何处，从而更有效地管理组织风险。 Bob：因此我采用直观定义来判定第三方关键性：Bob：哪些是核心业务流程？Bob：若涉及核心业务流程，该第三方极可能至关重要。Bob：其提供的功能——尤其是关键内部控制职能（企业常将此类职能外包）。Bob：可参考Octa这类提供单点登录服务的供应商。鲍勃：第三方处理哪些信息？信息量多大？鲍勃：若涉及机密或受限信息，该第三方很可能属于关键范畴。鲍勃：此外，根据你授予其的基础设施访问权限，这本身就足以将其归类为关键第三方。Bob：但请记住，不能仅关注关键第三方。Bob：必须全面掌握所有第三方清单，通过风险领域分类和理解其服务内容，才能更有效地管理。Bob：我曾亲身经历过将某些第三方排除在主动监控之外的教训——后来才发现他们其实至关重要，这属于重大疏忽。鲍勃：因此第三方接入流程是获取这些信息的关键控制点。鲍勃：若业务部门设有第三方关系经理，其职责正是管理这些第三方关系。

鲍勃：他们是管理第三方关系的重要信息来源，既能协助您与第三方互动并监督合作，也能及时告知新引入的第三方情况。鲍勃：因此您应当充分利用与第三方关系经理的合作关系。鲍勃：必须谨记——这也是第三方项目中常见的问题——鲍勃：最终往往由第三方项目负责人承担管理第三方关系的职责。 鲍勃：真正负责管理第三方关系的人，是贵公司与该第三方合同上的签约人。鲍勃：虽然他们可以将工作外包给第三方，但责任与问责不可外包。鲍勃：他们签了字。鲍勃：他们承担责任。鲍勃：这是他们的责任。鲍勃：一旦出问题，其业务部门必须直接承担后果。Bob：所以再次强调，我的业务是否需要第三方提供服务或产品？Bob：这是你始终要向业务方提出的首要问题。Bob：但你也必须掌握现有资源清单，以便能基于已建立的第三方合作关系提出替代方案。Bob：另一个关键点尤其体现在大型并购中——那些频繁进行收购的大型企业。鲍勃：嗯，收购不仅是获得新公司，还意味着接管所有曾为被收购方提供服务或产品的第三方供应商。鲍勃：必须厘清被收购方使用的第三方供应商中哪些是关键环节。鲍勃：其次要判断这些供应商是必需的，还是与现有第三方服务存在重复。Bob：这通常是被忽视的环节，导致第三方供应商不断增加却未能纳入管理清单，最终造成清单不完整并引发安全事件。Bob：因此入职流程是关键的检查点，用于追溯新供应商的来源。Bob：持续监控。

鲍勃：持续监控使我们能够实时掌握第三方合作伙伴的动态。鲍勃：我们所处的时代已不再满足于通过定期评估或初始评估来管理第三方风险。鲍勃：评估报告仅在完成当日有效。次日若发生安全事件，你将面临全年剩余364天的风险暴露。因此必须建立持续监控机制，实时掌握第三方健康状况——该机制包含三个核心要素。 鲍勃：第一是厘清层级关系——明确合作链条中存在的分包商、第四方、第五方乃至第n方。鲍勃：第二是确保第三方风险管理计划切实管控实际存在的风险。鲍勃：这不仅涉及网络风险或业务连续性风险。鲍勃：还包括财务风险。鲍勃：地域风险。鲍勃：数据处理所在国的政治动向。鲍勃：运营风险。鲍勃：系统性能衰退、关键人员离职。鲍勃：声誉风险。鲍勃：供应商负面新闻、不道德劳工行为、环境风险暴露、合规违规、人口贩卖、反贿赂等各类问题。鲍勃：仅监控网络或业务连续性风险远远不够。 鲍勃：若未持续监控所有风险，就意味着暴露在事故风险中。鲍勃：还需持续进行供应商清查——正如贵公司不断新增第三方合作方和业务关系，您的供应商也在持续拓展业务，必须厘清这些关系如何影响第三方与贵公司的合作。鲍勃：需谨记的是，持续监控项目所需的技能与知识体系，不同于第三方风险评估人员所具备的能力。必须确保贵司持续监控团队拥有匹配的技能储备。

鲍勃：但更重要的是，从运营角度看，若要实施持续监控，必须将其融入日常业务流程。鲍勃：因为我多次见到这样的情况——持续监控启动后，当警报触发或需要采取行动的事件发生时，却无人查看生成的信息，也无人采取任何措施。鲍勃：因此若要实施或优化持续监控，务必对流程进行端到端审视。鲍勃：明确监控警报的接收方、响应人员及响应时限，并确保流程有据可查。鲍勃：以下清单将帮助您实施持续监控，其中包含若干关键注意事项。鲍勃：您需要高质量的第三方信息。 鲍勃：若存在数据缺口或质量问题，持续监控计划的效能将大打折扣。鲍勃：你是否已建立我刚才提到的运营流程，用于管理并响应持续监控生成的警报及潜在事件？鲍勃：你的第三方供应商清单是否完整？鲍勃：这不是一次性任务。鲍勃：它在持续演变，你们如何跟进变化？如何从关键第三方开始追溯，厘清第四、第五乃至第六层级？鲍勃：将第四、第五及后续层级纳入持续监控平台并不复杂，这能让你们持续深入洞察关键业务流程。鲍勃：您是否掌握可靠且定期更新的第三方数据共享分类与规模信息？是否定期与业务部门核查——从关键第三方开始——了解第三方关系变化，从而聚焦高风险领域？鲍勃：您是否清楚第三方对企业网络、系统、数据等的访问权限？

鲍勃：您是否清楚信息管理的物理位置？数据处理实际发生的地点？数据静止存储的位置？鲍勃：哪些第四、第五乃至第n方能够访问您的敏感信息或企业网络？鲍勃：第三方机构素来以擅自利用您授予的系统访问权限而闻名——他们会将这些权限转授给第四、第五方，却从不告知您。鲍勃：您必须对此类情况保持警惕。鲍勃：您是否与第三方保持着最新联络信息？这样当事件发生时，您能及时联系到正确的人员，而非手忙脚乱地寻找联系人？鲍勃：您的团队是否接受过日志监控、审查及升级流程的有效培训？这样当事件发生并被判定为安全事故时，您才能采取正确措施。鲍勃：是否与业务人员开展过桌面演练？确保事件发生时，每个人都清楚自身职责及应对方式？鲍勃：总结关键要点：明确组织内可调动的资源与利益相关方。鲍勃：针对我提到的每位相关方，请他们吃顿午餐。 鲍勃：费用由你承担。 鲍勃：这将是您第三方风险管理计划最明智的投资。鲍勃：您需要持续验证供应商清单，因其处于动态变化中。鲍勃：这意味着至少每年需复核供应商风险分类及合作关系中的关键要素。鲍勃：确保在供应商入驻前明确其关键性。鲍勃：他们拥有哪些访问权限？鲍勃：涉及哪些信息？鲍勃：他们为您执行哪些关键控制流程？鲍勃：他们关联哪些业务流程？鲍勃：供应商清单应涵盖软件资产，并理想情况下与关键第三方及业务流程建立交叉对照。鲍勃：确保这些信息纳入您的清单。鲍勃：协同软件开发与架构团队核查其第三方软件清单。鲍勃：若缺失则协助完善获取机制。鲍勃：充分运用自动化手段。

鲍勃：要实现可扩展性并保持高效，唯一途径就是自动化你的项目。鲍勃：别再用Excel表格、临时方案和维护库存清单了。鲍勃：若想扩大规模，就必须实现集中化管理。鲍勃：确保你拥有高效且及时更新的事件响应方案——正如我们开场时讨论的那样。鲍勃：务必明确联系人信息，确保电话号码和电子邮箱有效。定期开展桌面演练时，应将参与的关键第三方纳入演练环节。鲍勃：若能落实这些第三方库存管理措施，你们的事件管理将更高效。鲍勃：运营韧性将得到提升。鲍勃：可规避潜在的声誉损害、财务损失及监管风险。鲍勃：最后附上我的联系方式。鲍勃：若各位有任何疑问，无论是关于今日讨论内容，还是希望探讨业务难题的解决之道，欢迎随时联系。通话免费，建议免费，我随时待命，诚邀您把握这个机会。鲍勃：今日分享到此结束。鲍勃：斯科特，接下来请您发言。

Scott: Thanks so much, Bob. Scott: I appreciate that. Scott: Uh, thanks everybody for listening into uh, our presentation today. Scott: Bob’s presentation on vendor inventory and uh its critical role in incident response and uh an overall third-party risk management program. Scott: Uh what I’m going to do in the next 5 minutes or so is just to explain some ways that prevalent can help you achieve the objectives that that Bob talked about in uh in his presentation uh uh today. Scott: So I just have a few slides. Scott: Uh first off, oh and by the way, while I’m uh uh kind of going through kind of the prevalent uh perspective on this, this is a great opportunity for you to um think about the questions you’d like to ask, enter them into the Q&A window in uh in Zoom and then uh Ashley will kind of triage those questions and uh elevate those to to Bob as soon as I’ve kind of wrapped up my part of the presentation. Scott: Okay, so first off, everything that Bob talked about today, I think from a challenge perspective revolves around one of these three things. Scott: Number one, um a lot of companies are still using spreadsheets to manage their third party inventory or to execute their third-party risk assessments. Scott: We know this because we survey the industry every year. Scott: Uh and earlier this year, uh we released the results of our annual thirdparty risk management study showing that 50% of companies still use spreadsheets uh to manage their third party risk, their auditing, and their controls. Scott: So, look, I understand it’s hard to get away from spreadsheets. Scott: It might seem easy. Scott: There’s some benefits to it. Scott: It’s free. Scott: You’re already paying for it with your uh IT license of office, you know, whatever. Scott: I get it. Scott: Um but there comes a time when that spreadsheet just can’t scale. Scott: It doesn’t have the controls validation. Scott: It doesn’t have the reporting and the metrics. Scott: in it that will really help you dive deep into you know what a what an enterprise third party risk management program should be. Scott: Problem number one. Scott: Problem number two uh not enough coverage. Scott: Uh you know the results of our our survey said that organizations are only actively managing about a third of their vendors. Scott: Uh which was pretty shocking to me. Scott: The average company um you know 30 to 33% of vendors actively tracked monitored remediated risks. Scott: The other twothirds uh get a ing blow occasionally or maybe a little bit of effort during the onboarding phase or maybe a contract renewal but there really isn’t a whole lot being done to to manage that um that twothirds of vendors. Scott: Third big problem is a no life cycle coverage. Scott: Uh we find that a lot of companies uh you know roughly 29% only 29% of companies are actively tracking risks across the third party vendor supplier life cycle. Scott: Right? Scott: So half of you are using spreadsheets a third of you are uh you’re only able to manage a third of vendors and you know roughly 30% uh are are looking at risk across the life cycle. Scott: Look, I get it. Scott: It’s a problem. Scott: Third party risk is a challenge and it’s getting worse with the more regulations, more thirdparty breaches uh and uh and increasing numbers of third parties you have to manage. Scott: Look, what I think the outcomes are for a good third party risk management program are three-fold. Scott: Uh number one is get the data you need to make better decisions and that’s where a solution can help uh by centrally aggregating uh into a single uh vendor profile, the information that you need to manage that vendor across the life cycle, basic uh demographic information, uh ultimate business owner information, reputation, uh finances, cyber security post or whatever, all in one place so that everybody is singing from the same himnil. Scott: Second, uh that helps you to increase your efficiency for not just your team responsible for conducting those assessments, but breaks down the silos between different teams that also might want to have some sort of a say in thirdparty risk, procurement, risk management, intern audit, uh, legal, others. Scott: And then third, that enables you to evolve and scale your program, uh, over time. Scott: You know, we we know that spreadsheets are problem. Scott: We know that, uh, you’re not managing a life cycle because a lot of those spreadsheets just get in the way. Scott: Uh, this allows you to um, you know, good a good third party management solution allows you to evolve and scale your program over time using automation, uh, using analytics, and maybe even using AI to help automate the process. Scott: You know, here’s our tips on on building a a a comprehensive vendor inventory. Scott: From our perspective, it it all starts with um you know, centralizing your vendors, getting all your vendors uh under one pane of glass out of the accounts payable department, out of the procurement department, out of the individual business units to central management. Scott: And that has to happen easily. Scott: It can’t be a cumbersome process as you know. Scott: It could be as simple as a spreadsheet upload, automatic mapping of fields into kind of a preset form uh you know, in a platform. Scott: or an API connected into an uh account accounts payable tool or maybe just a simple questionnaire that’s available to anybody across the enterprise without requiring them to log in or or whatever just via an email link have everybody contributing information so that you know you begin to set that foundation for for vendor inventory. Scott: Second, once that vendor inventory is create uh created the next best practice is to um aggregate intelligence about that vendor so you have that one source of the truth that single source of the truth and that can include demographic info, UBOS’s, fourth party technologies that that vendor might have in place so that you can kind of visualize, you know, potentially weak points or concentration risk in your in your ecosystem. Scott: You know, CPI scores, modern slavery statements, ESG scores, things like that that provide a level of information about that third party from which you can then make decisions on and kind of build, you know, a broader risk assessment strategy around. Scott: And that really starts with conducting an inherent risk assessment, which is the third best practice here. Scott: Um, asking a set of simple questions on calculating the risk that that particular vendor or supplier introduces to your organization, which then dictates your due diligence strategy going forward. Scott: Um, and then as you tar and categorize those vendors based on that inherent risk score, that allows you to go kind of that the final mile and um, prescribe an assessment strategy and a continuous monitoring strategy to bring in information in and kind of help you bear with the rest of the organization, recommend remediations uh and ultimately close the loop on on thirdparty risk. Scott: Um that’s our approach to addressing thirdparty risk management. Scott: We look at risk at every stage third party life cycle from the point where you on uh store them select a vendor to the point where you uh offboard and terminate them. Scott: We deliver our capabilities through a combination of our expertise uh the data and the intelligence in the platform and in the platform itself in terms of its uh reporting, analytics, uh workflow and compliance mapping. Scott: And I realize you can’t click on this uh link because uh uh you’re watching the presentation, but watch for the presentation and the recording tomorrow. Scott: Uh we have a thirdparty incident response strategy guide available to you as well that has a lot of the information that Bob covered today in terms of building an inventory and kind of understanding, you know, who your vendors are, what risk they pose to the business before you, you know, go about uh um you know, determining the the best approach for assessing those vendors on an ongoing basis. Scott: So, that’s what I wanted to share with you today. Scott: Um, I will turn it back over to Ashley. Scott: Ashley, open it up for questions.

艾希莉：谢谢，斯科特。艾希莉：各位可能注意到我已启动第二轮投票，以便跟进各位可能提出的任何计划或项目。艾希莉：我们想了解大家是否计划在今年内建立或完善第三方风险管理计划。艾希莉：请务必如实回答，因为我们会进行后续跟进。艾希莉：不过现在只剩几分钟时间了。艾希莉：所以我们继续推进这些问题。艾希莉：鲍勃，有位同事问：能否举例说明第三方、第四方和第五方的关联关系？艾希莉：当然可以。 艾希莉：这个概念其实很简单。

鲍勃：所以你和一家呼叫中心服务商签订合同，当客户打电话咨询时，他们会接听电话。鲍勃：但该呼叫中心供应商资源不足，无法应对可能出现的呼叫量激增。鲍勃：因此该呼叫中心会与另一家呼叫中心签订合同，由后者提供溢出处理能力——虽然提供服务的是独立公司。鲍勃：所以第四家公司、第四方与第三方实为两家独立企业。鲍勃：它们之间建立了商业合作关系。 鲍勃：另一个例子可能是薪资处理。鲍勃：假设你将薪资处理外包给某公司——这确实是我经手的真实案例。鲍勃：该公司在薪资处理环节又分包给第四方，第四方转包给第五方，第五方转包给第六方，第六方转包给第七方。结果第七方严重失误，引发了极其尴尬的事件。Bob：但企业自身能力往往有限，软件开发公司尤甚。Bob：当你要求他们开发新应用时，他们能完成开发。Bob：但他们无法托管应用。Bob：他们会找第四方的网络托管公司为你托管应用。Bob：以上就是几个典型案例。

阿什利：谢谢，鲍勃。这里还有一位布拉德利的问题："你说库存时，是指记录数据、软件、硬件、网络等信息，还是也包括客户和制造部门所关注的实物库存？"

鲍勃：嗯，通常我们在网络研讨会中讨论的内容——因为第三方风险在某种程度上是由监管要求和金融服务公司驱动的议题——我们倾向于谈论服务领域，但这里讨论的所有内容都绝对适用于产品环节。鲍勃：以制造流程为例，像宝洁或金宝汤这类企业，其产品生产链中会涉及50至15万家第三方供应商，共同完成商品生产及市场销售的各个环节。鲍勃：因此我们讨论的以服务为导向的内容，同样适用于产品端。鲍勃：转向产品领域时，又会涉及工业控制流程等不同层面的管控。鲍勃：此时讨论的工业控制技术（OT）和物联网（IoT）将远超常规范畴。鲍勃：这些都是相关性的其他例证。鲍勃：因此我们虽以服务为主要议题，但对全球产品供应链环节同样具有同等重要性。

阿什利：谢谢鲍勃。阿什利：嗯，斯科特在我们结束前有几个问题要问你。阿什利：呃，希尔帕问为什么量化固有风险而非残余风险评分。

斯科特：嗯，好问题。斯科特：我会两者兼顾。斯科特：内在风险评估能帮助你初步判断如何根据多项标准对供应商进行分级分类，比如接触受保护信息的权限、系统访问权限、对客户流程的适用性或关键性等因素。斯科特：而一旦根据这些标准计算出固有风险评分，就能指导后续尽职调查策略，最终将持续残余风险降至企业风险承受范围内的合理水平。斯科特：所以两者都要做，但固有风险的计算方式与残余风险略有不同。

艾希莉：谢谢你，斯科特。艾希莉：呃，还有两个问题要问你，然后我们得结束了。艾希莉：有人问：你们如何处理第三方风险评估问卷的大量回复？

斯科特：呃，我们的解决方案是如何实现这个体积的？

艾希莉：对吗？

斯科特：嗯，有几种不同的方式。斯科特：因为系统是自动化的，供应商会进入系统完成风险评估。斯科特：所有答案都会预填入中央风险登记簿，用户可据此比对筛选——比如找出与风险阈值或预设预期不符的答案，然后精准锁定这些领域实施整改措施。斯科特：整个流程高度自动化。斯科特：第二种方法是人工智能——我们运用AI原理、机器学习和分析技术来处理信息、预填评估内容，并协助您从数据中得出初步结论，同时确保人为监管贯穿整个流程。斯科特：我们不会直接输出结果。斯科特：确保您能审核最终产出内容。斯科特：第三种是托管服务。斯科特：若您选择外包，我们将协助管理海量评估任务。

艾希莉：谢谢你，斯科特。艾希莉：最后还有一个问题。艾希莉：作为总结。艾希莉：说到人工智能，呃，评估人工智能第三方供应商的标准是什么？

斯科特：嗯，评估人工智能第三方供应商的参数。斯科特：嗯，我认为有三方面。斯科特：第一是数据安全与隐私，即该第三方供应商使用的AI功能。斯科特：它是封闭系统吗？斯科特：是托管式大型语言模型吗？斯科特：还是开放式大型语言模型？斯科特：训练模型时使用了哪些数据？斯科特：嗯，这是第二点——你肯定不希望外部API之类的东西向该数据池注入数据。斯科特：若需输入公司信息——尤其是潜在敏感信息——必须建立完善的安全流程。斯科特：其次是幻觉与偏见问题，必须确保系统使用真实数据而非虚假数据进行训练，且数据需适用于您的业务流程。斯科特：这样产出的结果才准确。斯科特：因此需要安全系统、准确处理，第三点是持续评估更新系统，并如前所述由人类监管输入输出内容——毕竟你不会把人生全权交给天网吧。

艾希莉：太棒了。艾希莉：非常感谢斯科特、鲍勃以及各位的提问，今天大家收获了许多宝贵信息。期待在你们的收件箱或未来的普瑞韦兰网络研讨会中与各位再会。艾希莉：祝大家周末愉快，剩下的日子里一切顺利。艾希莉：保重。

鲍勃：谢谢大家。

斯科特：再见。

鲍勃：再见。