提供一份深入审查报告,证明所有层级的供应商均符合合规要求。
第一章
导言
向董事会有效传达交易对手风险管理风险
随着供应商数据泄露和供应链中断事件的空前增长,董事会和公司领导层迫切希望加强对第三方生态系统的可视化管理。
问题在于,很少有安全和风险专业人士懂得如何有效传达第三方风险——他们往往依赖复杂的技术性、特定时间点的仪表盘,导致董事会困惑和/或疏于管理。
首席信息安全官如何向董事会有效传达第三方风险?
- 掌握董事会语言:风险及其财务影响
- 提供简明扼要的高层级视图,展示具有实际意义的近实时指标
这本电子书将通过以下方式助您入门:
- 厘清关键绩效指标(KPI)与关键风险指标(KRI)的区别
- 确定四类指标用于衡量
- 建议向董事会及领导层汇报25项关键绩效指标(KPI)和关键风险指标(KRI)
- 揭示哪些类型的指标最适合首席信息安全官、企业领导层和董事会
第二章
关键绩效指标(KPI)与关键风险指标(KRI)的区别
在衡量人员-流程-技术三要素时,二者同等重要。
关键绩效指标(KPI)
衡量职能和流程的有效性。
关键风险指标(KRIs)
衡量组织面临的风险程度以及应采取哪些风险应对措施。
第三章
四大关键指标类别
对于第三方风险管理,贵组织应衡量四个领域。每个领域均包含关键绩效指标(KPI)和关键风险指标(KRI)。
风险指标
| 关键绩效指标 | 这意味着什么 |
|---|---|
| 供应商基础的分层覆盖率(1、2、3、4级)及威胁情报 | 对供应商群体进行分段分析,以提供对其重要性的高层次理解。 |
| 已完成入职初期固有风险评估的供应商占比 | 该关键绩效指标中供应商比例偏低,可能意味着公司在合作关系初期就面临未知风险。 |
| 通过/未通过初始入职内在风险评估的供应商数量 | 该关键绩效指标中供应商数量较高,可作为风险评估的参考依据,提示哪些供应商风险最高,需要进行更全面的风险评估和持续监控。 |
| 供应商评估平均完成时间 | 评估耗时过长可能表明供应商参与度不足,或评估流程与其层级要求相比过于复杂。 |
| 关键风险指标 | 这意味着什么 |
|---|---|
| 上季度由供应链引发的优先级1安全事件数量 | 该指标更偏向滞后性质,若该关键风险指标呈上升趋势,则可能需要扩大网络安全评估范围或实施持续监控,以及时应对新出现的风险。 |
| 供应链中风险评分较高的供应商数量 | 作为领先指标,该关键风险指标(KRI)可帮助您优先对风险最高的供应商开展尽职调查。 |
| 成功入职后仍持续存在高风险的供应商数量 | 高数值表明供应商未落实建议的整改措施;企业可依据合同采取强制措施、考虑补偿性控制措施,或接受风险。 |
| 供应商评估平均完成时间 | 有助于确定哪些安全域需要在基准控制措施之外实施进一步的尽职调查和监控工作。 |
| 供应链中每个安全领域类别(例如访问控制、资产管理、物理安全等)在实施控制措施后的残余风险 | 残余风险水平较高时,公司可能需要考虑采取补偿性控制措施、接受该风险,或寻求退出合同。 |
威胁指标
| 关键绩效指标 | 这意味着什么 |
|---|---|
| 供应商基础的分层覆盖率(1、2、3、4级)及威胁情报 | 威胁情报监控的一级供应商比例较低,意味着部分关键供应商仅接受定期(例如每年一次)的评估——这导致供应商洞察存在风险缺口。 |
| 威胁情报触发后风险负责人的平均响应时间(MTTA) | 较高的MTTA可能表明风险负责人被大量噪声信息淹没,难以发现需要调查的事件。也可能是技能缺口或面临复杂威胁导致调查困难。 |
| 威胁情报来源的准确性,以误报数量/警报数量(以百分比形式报告)衡量 | 高比例的误报将需要调整警报阈值或对威胁情报来源进行进一步调查。 |
| 关键风险指标 | 这意味着什么 |
|---|---|
| 供应商自我声明与情报来源威胁之间的百分比差异 | 情报发现与评估结果存在高比例冲突,可能表明供应商未能准确回应评估要求。此情况可能触发重新评估或补充评估,并要求提供额外佐证材料。 |
| 具有活跃“高”威胁情报指标的供应商层级(1、2、3、4)数量 | 数量庞大的供应商可能意味着您的供应商体系极易遭受网络攻击,或正遭受攻击。建议实施有针对性的补充风险评估,以衡量供应商内部控制措施抵御此类攻击的有效性。 |
| 各层级(1、2、3、4)威胁指标的平均修复时间(MTTR) | 与上述MTTA关键绩效指标类似,较高的MTTR可能表明存在技能缺口或需要调查的复杂威胁。若MTTR持续偏高,可能需要聘请外部安全专家或对供应商合同进行审查,以确保其遵循适当流程来缓解威胁。 |
合规指标
| 关键绩效指标 | 这意味着什么 |
|---|---|
| 被归类为合规计划(如萨班斯法案、支付卡行业数据安全标准、通用数据保护条例)适用范围内的供应商数量 | 需要进行特定合规性评估的供应商数量庞大,这将表明应给予当前法规(例如数据隐私)多大的关注力度。 |
| 供应商合规申报质量按层级划分(1、2、3、4级) | 未回答或回答错误的问题比例过高(例如质量低下)可能延长评估周期和补救措施。可能需要补充评估,要求外部审计师执行特定证据或控制验证。 |
| 关键风险指标 | 这意味着什么 |
|---|---|
| 除一级供应商外具有合规义务的供应商数量 | 通常对一级供应商实施更严格的审查,但大量承担合规义务的非一级供应商可能需要补充进行特定监管评估,以衡量其对要求的遵守程度。 |
| 所有层级中存在未得到有效管理的重大威胁情报或控制缺陷的供应商数量 | 高数值表示风险等级较高。应根据优先级和风险容忍阈值处理未解决的控制缺陷及威胁情报发现。 |
覆盖率指标
| 关键绩效指标 | 这意味着什么 |
|---|---|
| 全球供应链覆盖率 | 组织主动管理、评估或监控的供应商比例较低,表明公司面临的风险水平较高。所有供应商都应进行分层、分类并实施相应管理。 |
| 未完成入驻流程的供应商中收到付款的数量 | 此处的较高数值表明供应商尽职调查流程存在执行缺失(或根本未建立该流程)。若缺乏完善的入职审核机制——包括内在风险评估——企业将面临安全、运营、合同及财务等多重风险。 |
| 平均供应商入职时间(MTTO)——从接触新供应商到完成初始尽职调查风险评估所需的时间 | 完成新供应商入职评估耗时过短,可能意味着问卷不够全面,导致重要风险指标遗漏。反之,初始尽职调查耗时过长则可能表明评估流程过于复杂。请重新审视评估流程,确保所收集的信息能准确反映供应商在第三方生命周期中的定位。 |
第四章
向正确的相关方分享正确的指标
使用本指南向相关利益相关者呈现正确的指标。
首席信息安全官
-
-
深入剖析威胁情报,详细说明所有层级中每位供应商固有风险与残余风险
-
优先处理所有已识别问题的行动方案和整改计划
商业
-
为演艺行业用户提供供应商的近实时威胁/风险分析
-
对一级供应商及关键二级供应商开展主动深入分析,以提升供应商关系质量
-
制定明确的行动计划,推动所有已识别问题的整改与解决。
董事会
-
向组织呈现供应链当前风险敞口的综合视图
-
通报关键供应商当前状态,这些供应商正为公司重大项目提供支持
-
展示威胁情报来源所揭示的固有风险与残余风险,以证明随时间推移降低风险的进展。
-
确定需要管理层支持的领域
第五章
第三方风险管理关键绩效指标与关键风险指标入门指南
要有效降低第三方风险,必须了解人员、流程和技术在预期目标中的表现情况。然而,传统的供应商风险管理产品无法提供必要的可视性,以管理和追踪供应商生命周期中的绩效与风险。
Mitratech可通过以下方式简化风险与项目成效的评估:
- 在初始签约流程中,确定关键绩效指标(KPI)和关键风险指标(KRI),以管理供应商全生命周期。
- 检测阈值异常并发送警报
- 提供补救指导并跟踪解决过程
- 为多个利益相关方提供可定制的报告
下载我们的TPRM指标指南,开始为您的项目定制关键绩效指标(KPI)和关键风险指标(KRI)。
©2026 Mitratech, Inc. 保留所有权利。
©2026 Mitratech, Inc. 保留所有权利。