Lowe's 了解第三方风险管理

阿曼达：大家好。请稍等片刻，让各位开始签到——五、四、三、二、一。现在由我来主持。欢迎各位参加本次网络研讨会，主题是"劳氏公司如何管理第三方风险"。我们特别邀请到TPR.RM公司IT安全高级经理杰斐逊·派克担任嘉宾。同时，我们公司的第三方风险副总裁布伦达·费拉罗也将参与讨论。 我是阿曼达·菲娜，梦想成为电视节目主持人，若年龄允许还想参加《单身汉》节目。不过此刻，我主要担任业务拓展代表。开场前有几件事需要说明：所有参会者当前处于静音状态。这意味着——各位在家中参会时，请勿让吸尘器、咖啡机或亚马逊快递员的敲门声干扰会议。 所以我们直接进入正题。虽然大家不能说话，但我们仍希望实现互动。请通过Zoom控制台提问（注意：请提问而非聊天），不要使用聊天功能。这样更便于管理。若时间允许，我们将在最后集中解答所有问题。 本次网络研讨会全程录制，我们将于明日上午发送录播视频，您可自由分享给相关人员。我的介绍到此结束，接下来请布伦达接棒。衷心感谢两位的参与，现在正式开始。

布伦达：谢谢你，阿曼达。我特别喜欢你发起这些活动，因为它们总是充满惊喜又充满乐趣。我绝对会推荐你参加《单身女郎》节目。

布伦达：感谢大家的支持。

布伦达：今天能和杰斐逊一起在这里，我感到非常高兴。顺便说一句，我们所有公告都提到他担任高级主管或高级经理。他最近刚被晋升为信息安全总监。杰斐逊，恭喜你！

杰斐逊：谢谢。

布伦达：我记得今天是我们相识并开始讨论劳氏第三方风险管理计划的一周年纪念日。当时我正在北卡罗来纳州，而那大概也是你入职的第一周吧。

杰斐逊：我想那是我入职的第一天或第二天。

布伦达：这简直像场滔滔不绝的演讲，布伦达在谈论第三方合作和她认为你们应该采取的所有战略举措。不过要祝贺劳氏在一年内取得的巨大进步。 在战略推进速度上，贵公司远超我以往合作过的任何企业。在此向你和团队致敬。恭喜你获得晋升。最后请谈谈——大家对我背景基本了解： 我来自查尔斯·施瓦布、eBay和PayPal的金融背景，后来转战医疗健康领域，也曾从事零售业，如今在Prevant协助其他企业拓展项目。请先谈谈你自己，或许分享个趣事——2020年你最喜欢做什么？

杰斐逊：当然。 嗯，谢谢，首先感谢邀请我来这里。我很荣幸能代表团队发言，正是他们付出了所有努力才让我们有机会站在这里。我叫杰斐逊·派克。首先，我曾是海军军人——这大概是我最引以为豪的经历。退役后我曾在电信行业、金融领域工作过，最终加入了劳氏公司。网络安全其实是我毕生的热爱，不过我真正投身这个领域是在人生后半程。 在其他领域我更侧重技术方向，多年从事业务分析工作，甚至在大型银行负责第三方项目的内部审计。所以我的职业路径并不典型，但我们发现这个行业里很多人背景各异，这种多元背景在我们处理第三方事务时反而很有帮助。关于这点我们后续会深入探讨。 这段居家隔离期，我努力控制体重的同时，也抓紧学习、阅读，甚至考取认证和参加培训——毕竟现在多数课程都可在线点播，认证考试也能在家完成。 所以，我正充分利用这段时间，努力在各个领域尽可能多地学习。虽然过程有些枯燥，但确实能让人远离麻烦。

布伦达：嗯，那地方比我可有学究气多了。 2020年我一直在逃避现实，去亚利桑那州的塞多纳之类的地方，沿着溪流散步看鸟。大家都知道我是个鸟类爱好者，喜欢外出辨识鸟类。这就是我疯狂的一面。不过现在我们该聊聊2020年大家为自己做了些什么？ 我很欣赏你学习并帮助他人了解劳氏公司项目的方式。今天的议程是：我们尝试突破常规——劳氏虽是家居建材超市，但我们把网络研讨会主题从第三方风险管理流程，巧妙关联到房屋建造。 首先是蓝图设计——评估建设需求；其次是组建团队——整合企业内部各部门资源，这属于企业级策略；接着是项目范围界定——明确需评估的供应商生态圈； 准备阶段则聚焦于项目实施所需的核心能力建设。执行阶段则是启动项目运行，最后通过进度评估展示成果，并揭示为公司识别出的风险。这个议程安排是否需要补充？内容相当充实，杰斐逊，这样安排是否足够？

杰斐逊：这就够了。咱们开始吧。

布伦达：那么，我们先快速开始吧。我目睹了你的项目成长，在架构或构建项目时需要考虑诸多因素。根据我的经验，这需要探索过程。 需要规划，需要掌握多种基础要素，并将它们融入你即将用于构建项目的设计中。那么，你采取了哪些措施来评估需求，从而设计并构建这个项目？

Jefferson: Sure. Great question. And first of all, so it’s called thirdparty risk management for a reason. It’s not third-party compliance management. And I think a lot of people in including me in the in the past have had the mindset that, you know, you need to come in and and do everything. And you honestly just can’t do that. You have to figure out where to start and and not beat yourself up thinking, you know, you’re not accomplishing everything on day one. It does take time. And risk management is not new. In fact, when you study information warfare on the military side, you learned that the guy who wrote the art of war talked about risk management 7,000 years ago, Sunzu, and he said that if you know yourself and you know your enemy, you don’t need to worry about the outcome of a 100 battles and essentially saying you know if you assess yourself and you assess the threats to yourself you don’t need to worry about the outcome you’ll make it and with third parties we have to own them as part of us and actually you know assess them and assess the threats to them. So we we started with that and we had to look at our industry because the retail industry is totally different from financial or healthcare and uh you in the financial sector you have regulatory agencies telling you what to do for third party and the OC will tell you you have to have a continuous monitoring program in place which is great, but in retail, you don’t have those regulatory factors like you you do. There’s this there’s heavy fines. There are other things you can take into account. There’s guidance, but you don’t really have any kind of real regulation across the industry. So, you have to figure out what your own risk appetite is if you’re taking that that risk management approach. So, uh first it came from from leadership and our leadership a lot of them came from places like uh Target, Home Depot and other places that have experienced, you know, bad situations. and they don’t don’t want that to happen again. So, it’s something we’re very mindful of like how do we best protect ourselves in a retail environment which is totally different from uh from healthcare. So, had to look at that. And then you have to figure out, you know, if you’re out in the in the middle of the woods and you’re trying to uh you know, get out of the woods, a map won’t help you by itself. And the compass won’t help you by itself. You have to have the two together and use that compass. You identify a couple points, see where you are on the map, then you work your way out. And it’s the same thing with this. So, we had to look for a reference frame we could use and a a framework that we could figure out, you know, what the lay of the land would be. But but then we had to figure out where we were on that uh that map. And so we uh we conducted a couple self assessments and we found a framework one from shared assessments uh called the vendor risk management maturity model and we conducted a self-assessment on oursel and figured out where we score on this is very similar to doing a gap analysis for NIST or something else but much w better than this and we’re also looking at things originally from an information security perspective and every company does it differently but for us third party is embedded within information security. So when you have when you’re looking at an asset an asset can be anything of value to a a company typically you’re looking at just the confidentiality at first uh you know for example when you hear about most data breaches it’s because what’s making the news is how the confidentiality was breached there actually two other factors to it there’s integrity you know making sure that data stays accurate and availability which now is a big thing especially with supply chain. So u you can’t do all three at once. You start with what you know and in our case we knew information security. So we started there and we plotted ourselves on the self-assessment framework and figured out where our gaps were and and just like any organization we had some good gaps but then we would take that and actually plot that on a road map. Now that we know where we are how do we get out of there? And so we would take every domain from the uh the share assessments framework uh from that that room assessment and create really lanes on this road map and so program governance is a great example. We figured out okay for that category here are some issues where we’re we’re falling short so let’s put them on the road map and every subcategory from the framework we just plugged in the road map and started following that and if you follow the agile framework we then you’d understand this terminology where we’re taking all the u the big categories on the framework we made those are epics and then uh the subcategories, those big projects, those were our tasks for each epic. I’m sorry, our features. And then it breaks down into stories and and tasks. So, we’re using that as a framework really just to get us out of the woods and and to move forward. And rather than just assess ourselves once a year, we actually assess ourselves maybe every six months or so to get ready for our big annual assessment because we don’t want any surprises at the annual assessment. So, theoretically, just like when you do a a performance manager eval, when you get to the annual assessment, you should not be surp rise of what you see as the gaps. So, we like to know the gaps ahead of time and it’s just a continuous process of doing that.

布伦达：是的。而且我很欣赏你展示的不仅是这张幻灯片，它还呈现了那些功能、组件或史诗级任务。 你列出了八个要素。很多公司构建项目时根本不会关注全部八个，他们只关心评估的生命周期——流程能推进到哪一步？会卡在哪个环节？所以，你想先聊聊这个路线图，还是直接切换到下一张展示全部八个组件的幻灯片？还是说这两张幻灯片有特殊说明？

杰斐逊：当然，我们可以继续看下一张。这只是个示例。如果你查看那个VRMM自我评估框架，你会发现这些内容完全吻合，也能看到我们从何处获取这些信息。不过我们确实新增了一个类别——如果你翻到下一张幻灯片的话（不确定是否已显示在此）。另外我们还为信息安全团队的其他工作流设置了独立分类。 其中关键在于探索如何与其他团队建立最佳协作关系，如何承接工作以支持其他团队，同时确保我们自身工作的价值。为此我们专门组建了独立团队或开辟了独立工作通道。初期我们还做了两件事：认识到单打独斗无法完成这项工作，没有人能包揽所有答案。 因此我们实际组建了一个由其他公司领先者组成的同行小组——他们或许走在行业前沿，或比我们更早开展相关工作，且是各自领域的专家。他们与我们共享信息，因为孤狼在此领域难以生存，而前人已在此领域积累经验。向他们学习非常有益，就像特种部队需要团队协作，单打独斗的兰博模式根本行不通——真正有效的是一支由各领域专业人才组成的团队。这个同行小组汇聚了不同行业背景的成员，但都聚焦于第三方风险管理。这是绝佳的学习机会，能直接聆听专家分享实践经验。我之前提到过自己喜欢阅读。 若在亚马逊搜索第三方风险相关书籍，几乎一无所获。

布伦达：只有三个。

杰斐逊：是的，相关书籍寥寥无几，而且质量也平平。不过总体而言，这类著作确实不多。或许将来会有人为我们撰写权威的第三方风险管理专著，但目前除了那本之外，实在找不到值得参考的佳作——这本书我强烈推荐大家阅读，若尚未接触过。 有套双册著作叫《SISO桌面参考指南》，作者是邦妮·赫斯利普和斯坦珀。这三位先生都是各自公司里资深的SISO（系统安全官），他们对信息安全了如指掌。书里专门有一章讲第三方风险，这是我找到的关于第三方风险管理最权威的纸质资料。 所以书呆子本性在此显露——若你需要一本专业指南，这绝对是首选。不过在着手研究前，这几乎是我能找到的唯一相关资料。

布伦达：嗯，我对第三方事务也是个极客。我会把那部分内容拿过来读读，或者让你复印那章发给我——如果只是那章的话。 那么，我们来聊聊你是如何协调其他部门的。毕竟每个部门都在按自己的方式做评估：采购部可能做合规核查或信用审查；法律部有自己的评估视角；还有供应商安全、IT安全、OT安全等环节，更别说许多管理层可能对项目推进速度心存顾虑。 供应商安全、IT安全、OT安全都需纳入考量，同时许多管理层可能对项目推进速度心存顾虑——这种变革节奏可能超出他们的舒适区。那么，您如何以符合劳氏企业文化的方式推动这种变革？

杰斐逊：你知道吗，听起来可能有点傻，但这完全是外交工作——要成为其他业务部门的大使，时刻为他们提供支持。因为在大公司里，部门壁垒问题很常见。不同团队之间往往互不沟通。 每个人都只顾自己那套，甚至对其他部门的情况一无所知。所以我们把自己定位成各团队间的桥梁。我们负责对接第三方，处理法律事务时会主动提出协助审查合同。同时向业务部门说明合作供应商的风险状况。 我们还与采购部门协作，向他们反馈观察到的风险及建议。通常这些团队之间沟通不畅。若试图向业务部门或供应商解释信息安全风险或第三方风险，他们往往一头雾水。 因此你不仅要担任沟通桥梁，更需成为专业翻译——用通俗易懂的语言向非技术人员阐释风险，并转化为商业术语。这需要独特技能组合，仅在团队中配备网络安全专家并不足以完成这种转化。 我们发现——稍后会详细讨论——组建团队时，招募标准并非完全基于技术能力，因为我们不希望团队成员能力雷同。正因拥有多元技能组合，不同成员才能承担不同任务，并以各自热忱投入工作。 所以，嗯，本质上我们必须成为大使。在劳氏，有一种理念是"要带顾客到货架前"。希望你在门店里见过这种场景：当你走进商店不知道商品位置时， 当你询问时，店员不该简单回答"在12号货架"，而应主动带你前往目标区域，确认商品是否符合需求，甚至进一步询问需求提供协助。 我们希望为业务部门提供同样的服务。因此，当他们从未接触过评估流程或不理解评估目的时，我们要主动引导他们了解全过程。 我们要全程协助他们完成评估流程，让业务部门满意，让供应商满意，并扮演好大使角色。我们还发现另一个诀窍——其实不算诀窍，而是我们特别注重的一点：每家公司都可能有"日落规则"，但很多团队往往松懈而忽视它。 具体来说，当收到邮件请求时，必须在当天结束前回复。这听起来很简单，但当我们将此列为优先事项后，公司其他业务部门或分部向我们提问时， 我们总能在当天回复。因为对方通常面临项目下周上线、供应商需紧急对接、合同即将签署等紧迫情况——这往往是他们首次接触我们，此时压力倍增。我们坚持当日回复，这种对非第三方业务部门的尊重态度，会让他们日后主动找我们说： "嘿，你们之前帮了大忙。这个方案你们怎么看？"。日积月累，这些关系自然形成——当然绝非一蹴而就。我们始终致力于让自己成为不可或缺的存在，成为连接所有人的桥梁。

布伦达：是的。你实际上是在助力业务发展，帮助公司识别并降低风险。因此我很欣赏你采取这种方式来协助他们，成为他们的使者或桥梁。 记得当初我从大公司跳槽到供应商类企业时，那家企业客户众多规模庞大，当时一位睿智的前辈告诫我："布伦达，你将成为客户、产品与公司之间的桥梁，必须精通多种语言。"你现在的表述让我深有同感。 关于第三方风险管理计划，首要关键在于厘清供应商生态全貌。在构建这份完整清单时，你是否遇到过识别与理解方面的挑战？

杰斐逊：是的，值得庆幸的是我们咨询了同行业其他公司、审计机构以及所有能接触到的专家。当我们向他们说明情况时，他们表示"太好了，这说明你们和全球其他公司处境相似"——这既是好事也是坏事，但本质上在与其他公司交流后，我们发现建立绝对准确的供应商清单始终是个难题。这又回到了风险与合规的平衡问题——你永远无法获得完全详尽准确的供应商清单，但也不能等待三年才完成这份清单。 所以，采购数据库里可能列着部分供应商，应付账款系统里能看到实际付款对象，治理风险合规系统里或许也有记录。但要整合这些分散数据并确认真实供应商身份，才是真正的难题。

杰斐逊：而且这也没有什么灵丹妙药。这需要大量侦探式的工作，团队成员会告诉你，他们很多精力都花在寻找所有者或查明供应商身份上，有时你就像在扮演侦探，拼命追踪线索。

布伦达：是的。我欣赏贵机构采用的一种方法——鉴于当前的韧性需求以及2020年我们经历的种种挑战，你们实际采取了这样的做法：如果内部有对接窗口，就会直接向其索取供应商的分层或画像信息，以此确保评估方式的精准性。 但你们还创新性地直接联系供应商，提供简短问卷收集必要属性信息，以此确保评估的准确性，并结合内部记录进行补充验证。 这种做法是可行的，即便供应商可能质疑："你们明明清楚我们的业务范围，为何还要重复确认？"但事实是，各方都需要通过核查确保彼此了解对方业务动态——毕竟业务内容会随时间变化。 可能某供应商在一年或数月内从事某项业务，突然有人提出："我们已审核过该供应商资质，不妨将其用于XYZ业务。"因此从这个角度看，您的做法很有必要。那么第三方守门人的具体职责是什么？

杰斐逊：是的，这是我们团队内部使用的比喻。 很多时候，每个行业都有自己的衡量标准——比如我们知道零售业有数千家供应商，平均每次数据泄露损失约180万美元。我们清楚单次泄露的最高金额或每条记录的损失金额。你可以利用这些数据，但切忌制造FUD（恐惧、不确定性、怀疑）效应。 向管理层阐释风险时，我们需要事实依据。但现实是，众多供应商中任何一家都可能成为"爆炸性足球"——我们必须确保这些风险不会演变为公司数据泄露事件。 因此我们视每家第三方供应商为最后一道防线，竭力阻止他们攻破公司防线。我们当然希望业务成功，但若企业盈利却因违规罚款等财务风险被迫回补损失，最终公司实际利润将大打折扣。 因此我们致力于守护这一核心价值，就像后防线上孤身镇守的守门员——面对的不是单一来袭的足球，而是成千上万的潜在威胁。从第三方角度看，我们必须确保库存中的所有合作方都不成为下一个引爆风险的"足球"。所以说...

布伦达：我喜欢你之前做过的某个演示，突然间就像成千上万个足球一样。

布伦达：要是我是守门员，可不想面对这么多来袭的射门。绝对不想。那么，你正在制定什么策略来确保自己保持竞争优势呢？

杰斐逊：当然。有些企业可以采取"我们对他们"的模式，就像美式橄榄球队那样——进攻组负责得分创收，防守组则在场上坚守阵地。他们只是专注于本职工作。但实际上存在两支不同队伍，虽为同一阵营效力，却在不同时段上场，从未真正协同作战。这种模式更接近足球（你们说的足球）的实际运作方式——所有业务部门和其他团队同时在场上协作。 我们始终协同作战。业务部门确实致力于提升营收，而我们则协助他们以安全的方式达成目标——既确保收入稳固留存公司，又规避声誉风险，杜绝不良因素渗透，守护企业安全。 但与所有这些不同团队协作时，我们必须达成共识，摒弃那种"我们是业务部门"或"我们负责防守所以不与你们沟通"的割裂思维。事实绝非如此。

布伦达：是的。我很欣赏你们设置了不同级别的过滤机制。这意味着团队协作时，某些环节会触发把关机制的审查，而非直接冲向目标却在不该通过的地方被拦下。如今管理第三方风险的产品和方法真是五花八门。 记得我在某家公司负责第三方风险管理时，同时对接三家不同的英特尔公司，却要填写三套完全独立的标准问卷。当然那是五六年前的事了。请问你们当时如何筛选合适的工具？又是如何权衡流程与选项的？

杰斐逊：所以，对我们而言这不仅是工具问题，还涉及流程和人员配置——该如何抉择？是将所有工作外包？还是仅安排一名员工在劳氏负责第三方事务？具体模式取决于风险承受度和领导层的决策方向，他们希望打造内部项目。——所以你知道还有其他解决方案，但我们的选择是组建自有团队。正如之前所说，我们招募的成员各具专长：有人精通网络架构，有人擅长供应商关系维护，还有人对公司业务了如指掌。但他们都有一个共同点——满腔热忱。 因此招聘时我们并不拘泥于特定资质证书，只要怀有热忱且渴望学习，我们就能培养他们——而团队成员之间也能相互学习。我们组建了核心分析师团队，由他们培训其他分析师并分享专业见解。随着时间推移，每个人都能从他人身上汲取不同视角，这带来了巨大价值。 如今这支核心团队不仅才华横溢，更对工作充满热忱。在工具层面，我们真正期望每位成员都能成为风险管理者——而非仅是风险分析师。毕竟没有企业能负担得起数千名分析师处理第三方风险。 因此必须权衡：单人能高效完成多少评估？我们不仅研究评估处理方案，更探索所谓威胁情报分析与安全评级平台的构建。为此考察了多种解决方案。 我们深知不能沿用传统方式——向所有人发送电子表格或Word文档，这种老派做法已不适用。 坦白说，最终最适合我们的方案是ENT解决方案。其核心价值在于：我们拥有一个自动化门户，可将供应商信息导入系统，邀请其登录填写资料、回答问题，系统会自动生成风险评估报告，供我们验证数据准确性。 我们还能协同供应商实际整改这些发现问题。所有功能都集成在一个解决方案中。因此对我们而言，这已成为最优选择。所有分析师采用这种方式后，我们估计他们每年能处理的评估量——确切说是远超以往——将大幅增加，远胜于以往通过电子表格操作、费力解读表格或Word文档的情况。

布伦达：是的。我喜欢你们程序中嵌入预配置风险补救措施的设计，并用这些措施指导供应商满足你们的要求。你们还设置了预配置的分级体系，稍后会详细说明。 你们还针对这些层级设定了风险系数，这样当需要评估高风险第三方时，风险值就能准确反映。而且通过那个统一门户，所有信息都能集中管理，对供应商来说非常便捷——这就像为供应商提供了一站式服务平台，未来业务部门也能从中受益。

杰斐逊：绝对没错。

布伦达：所以如果我们回顾你需要整合的所有内容——那可是相当多呢。 那么，你是如何处理执行过程中的基础工作的？回溯一年前，面对那些电子表格，需要决定采用哪种标准问卷等等，当时具体是怎样的场景？对了，这些即将出现的幻灯片是你的演示文稿，部分内容带有动画效果。请告诉我何时按下按钮，这样我才能把握好时机。

杰斐逊：好的。 哦，其实归根结底，我们都清楚不可能同时完成所有事情。我们只能先做好当前力所能及的事，再规划未来能力扩展的方案。这就是我们的起点，接下来请看下一张幻灯片。众所周知，传统做法是引入任何第三方时都应进行一系列评估。 很多时候，你会发现他们可能只做过一次评估（如果有的话），那只是最初签约时的流程，之后就彻底被遗忘了。我们见过这种情况。或者更常见的是，供应商根本未经任何评估就被接纳进来，当你追问评估事宜时，得到的往往是茫然的眼神——这可不是在劳氏公司任何公司都可能如此。因此理想的常规做法是：若在RFP流程中评估多家供应商，可先进行快速入职评估，确保其关键控制措施到位且无重大隐患。 若发现问题，可采取补救措施或告知供应商及业务部门。理想情况下，后期可安排复测，通过线上或现场评估进行验证。当合作关系终止时——毕竟万物终有尽时—— 凡事皆有终结。理论上，供应商终将退出合作名单，此时需执行离职评估，确保其彻底销毁所有涉及核心数据的记录。这是常规做法，但若对每个供应商都如此操作，所需人力将极其庞大且难以负担。 因此我们采取基于风险的方法，这便是下一步的关键。 我们仍会进行需求提案评估，这通常耗时约...同时向业务部门提供服务水平协议（SLA）或服务水平目标，并努力在新评估中遵循这些标准。因此业务部门清楚：当他们带着两三家候选公司来咨询时，我们会进行快速迷你评估——通常几天内完成——他们对此流程了然于心。 入职评估周期稍长，但我们会提前告知预期时长，确保双方对时间安排有清晰认知。此后我们将采用持续评估模式——并非强制要求每年或每半年重新评估，而是通过安全评级平台持续监控警报动态。一旦发现警报指标下滑， 这类工具包括Security Scorecard、Bitsite、Risk Recon等众多平台。当收到警报时，我们会立即采取行动，必要时触发重新评估。若供应商在初始风险评估中存在问题，我们会协助其整改并长期追踪进展——所幸我们使用的平台能自动完成这些操作。 我们既能与业务负责人协作，也会评估其事件响应能力。若发现供应商发生安全事件，同样会触发评估流程。 理论上，若供应商风险等级较低，且我们持续监控其安全信用评分保持良好状态、未出现问题，则会维持监测状态，不必每年或每两年强制重新评估。 我们将根据需要进行重新评估，并确保每年业务负责人仍与该供应商保持合作关系。目前我们可实施现场评估——团队已接受相关培训，但非现场评估同样可行。 当前大力推行虚拟评估模式——共享评估体系已对此进行培训——但必要时我们仍可根据具体情况和供应商性质开展现场评估，并在需要时执行离职评估。这种基于风险的方法使您能够以更少人力完成更多评估且更具成效，这正是长远解决方案所在。

布伦达：是的。我很欣赏你们采用持续评估的方式。很多公司都采取一次性评估或年度/半年度评估模式。而风险缓解时，正是需要进行验证或确认的时机。这方面做得很好。你们即将展示的这两张幻灯片正是我最喜欢的环节之一，期待听到具体内容。

杰斐逊：哦，这个问题总要讨论一番。我认为最好的解释是——你知道，安全措施常被视为路障。我以前在公司里见过这种情况：业务部门急着赶进度，根本不想找安全部门或走第三方风险流程，生怕被拖慢进度。 这就像去机场时，你得排队等候安检，耗费大量时间，通过安检后才能赶往登机口。如果你迟到，安检部门并无过错——他们建议提前两小时到场，但没人会真的提前两小时到。 你总是最后一刻才冲进来，然后就对TSA心生怨气，觉得他们耽误了你的时间。而入职评估的典型模式也是如此——你懂的，就是拖延。 我们得审查第三方资质，得完成评估流程，得确保一切合规。你得等到我们放行，才能前往登机口起飞，才能开启你的旅程，享受友好的天空。这种模式在零售环境中行不通。 要知道，我们的风险容忍度本质上是确保业务能完成必要工作，而非阻碍其发展——这让我们在安全领域面临微妙平衡。既要保障业务推进并发展成功所需的一切，又要确保安全无虞。因此我们的方法略有不同，请看下一张幻灯片。 当新合作项目启动时，我们要求业务负责人创建初始接入申请。此时我们会进行初步尽职调查，评估实际风险：他们处理哪些数据？这正是我们进行"风险拆解"的环节——你常听到的"拆解"就是指在项目初期就评估其固有风险。 想象你在机场行走，但现在无需再停留在TSA安检处。一进场就能拿到登机牌，穿梭于航站楼时，或许在星巴克买杯咖啡，抵达登机口时已准备就绪。这时可能会有TSA人员说："感谢配合， 您已通过安检。这是您的登机牌，我们为您盖章，祝您旅途愉快。"而这一切都在后台同步进行。当您享受便捷服务时，我们正同步开展评估工作：分析所有威胁情报，提出关键问题。 后续会追踪问题进展。最终我们会向企业主提交建议——他们可以采纳建议，或由我们推荐后续行动方案，或直接批准通行。 我们会建议他们可以推进，但有些问题需要在特定时间内整改；或者我们会说不建议推进，并指出存在严重问题，最终我们确实不建议继续推进——尽管这最终决策权在业务方。我们采用三道防线风险管理模型——如今普遍称为三道防线或三线模型，因"防御"已非核心概念，当前更强调业务主动性。该模型规定：业务部门构成第一道防线，承担实际风险责任；第二道防线由风险合规团队、法务、安保等部门组成； 第三道防线是内部审计。他们从高位视角确保所有环节按承诺执行。基于此框架，我们会向业务部门说明：这是我们的工作成果，这是发现的问题，这是我们的建议——但最终决策权在你们。 若他们继续推进该业务，则需由副总裁签署风险接受书，我们也会追踪记录。但我们并非"否决部门"——在银行或医疗领域或许可以扮演这种角色，但在零售业必须高效完成风险评估，真正发挥顾问职能。 因此我们为业务部门提供建议，而非扮演严厉的警察角色。我们会提供完整信息，最终决策权在他们手中。

布伦达：嗯。我挺欣赏你构建的分层金字塔模型，包括天数划分，以及你确实讨论了推荐方案——无论是带补救措施的推荐还是不推荐的方案。关于分层机制，你还能分享哪些经验？它对你实际运作效果如何？

杰斐逊：嗯，当然。标记本质上是基于我们公司的数据分类体系。每家公司对数据的处理方式各不相同。有些数据可能被视为公开信息或无关紧要，而另一些则属于专有数据或个人隐私。因此我们会根据数据接收流程中获取的信息进行标记。 这意味着高风险供应商将接受更严格的审查和额外尽职调查。无论如何，所有供应商都会经过评估——即使是仅持有公开数据、无实质风险的公司，通过填写接案表格也完成了评估流程。我们保留着完整的记录。 我们掌握其合作编号、网址及域名，可将其纳入监控工具，未来持续监测安全事件。 我们要求所有供应商都经过这个筛选流程，至少能完成基本记录，再决定是否需要采取进一步措施。当供应商通过系统完成外部审查（即我们通过平台进行外部视角评估）后，我们会借助Prevalent平台的自动化问卷获取内部视角，必要时进行跟进，最终形成最终评估状态和推荐意见。

布伦达：很好。那么我们进入下一个问题。我想你应该确保向管理层汇报关键绩效指标和风险指标——我们项目初期就做了这件事：不仅采用了Vroom的共享评估工具，还使用了Prevant的成熟度评估工具。 那么在项目推进过程中，你们采取了哪些具体措施？哪些关键绩效指标（KPI）和关键风险指标（KRI）对你们至关重要？

杰斐逊：当然。自我评估是其中重要环节，我们进而将这些评估结果作为企业整体评估的输入数据。同时必须明确关键绩效指标（KPI）与关键结果指标（KRIS）的区别，并明确受众群体。 例如，你不可能向CEO汇报每个分析师当前评估数量或本周完成量这类细节——他们根本不关心这些。他们真正需要的是公司整体风险状况、当前所处位置以及最大风险点。因此我们使用的KPI和KRIS存在多层次区分。 关键绩效指标可以很简单，比如今年评估数量与去年的对比，以及评估结果如何？当前评估的最终状态如何？不同入口渠道的评估量分别是多少？比如提案评估与入职评估的比例？入职评估数量是否偏低？原因何在？ 让我们聚焦于如何提升该工作流效率。借助通用平台，我们能清晰追踪评估各阶段进展，并为每个阶段设定服务水平目标。例如：从申请提交到启动供应商评估，整个流程应耗时多久？ 评估报告实际产出需要多少天或小时？客户填写问卷并反馈信息应耗时多久？我们还将考察：收到信息后，我们形成最终建议的耗时应控制在多少？所有环节都纳入绩效追踪与优化体系。这样我们就能掌握各阶段的具体时长。 但KRIS的核心价值在于向管理层阐释数据背后的实质意义——这正是最关键的部分。平台数据能让我们洞察当前十大风险、供应商在企业范围内的风险分布、最常见问题等。 我们还能将其与安全监控平台整合，识别第三方当前存在的最大漏洞，并确定需要与他们协作解决的问题。我们可以按业务单元分解，按层级分解，从而找出风险最高的业务单元。 有多少业务单元因我们提出的整改建议仍未落实？我们需要如何协作解决？因此真正要实现的是业务单元层面的细分——这正是我们的发展方向。我们能按业务单元展示第三方供应商情况，并基于所有风险评估结果的累积数据呈现风险等级。

布伦达：这真是个好消息。我知道你为管理层制定关键绩效指标（KPI）和关键信息指标（KIS）付出了巨大努力，正因如此，你和整个团队才被视为项目资源的核心力量，才能在如此短时间内取得如此大的进展。 记得当初我们还商量着一次只做几个项目，现在每周光分层问卷就要处理250份，这样才能获取数据确定后续评估方案。所以你的业务规模已经从最初只需评估上千家供应商， 现在我必须全面调研整个供应商体系，这个数字可能高达——我随便估个数，绝非指代劳氏公司——可能达到14,000家左右。因此我们正借助线程智能、分层评估和基础问卷等工具，快速确定优先处理事项。 观察这个过程非常有趣——外界数据浩如烟海，但数据与信息存在本质差异：我们虽能从各处获取海量数据，但只有当数据具备实际价值并能转化为可执行方案时，才真正成为有价值的信息。 因此关键在于：将多平台获取的海量数据进行提炼，向管理层传递真正有价值的信息，让他们明确"所以呢"的核心要义。

布伦达：没错。当初你设计这个程序时，考虑了分类体系，考虑了标签机制，还预见了所有必须执行的任务。 你考虑过可能需要采取的每个细微步骤。而当遇到未预见的场景时，你迅速调整思路：比如要大规模发送必需品清单，或是开展用户画像调查——也就是你所说的供应商信息收集问卷。随着问卷回收，有些供应商未予回应，我们该如何处理？有些则在几分钟内就反馈了。 现在他们准备接受评估。我们该如何处理？看着你应对这些情况真是很有趣。但话虽如此，你认为最重要的三点经验是什么？你可以多说几条，但请告诉所有听众，你希望他们从你的经历中学习到什么，而不是让他们自己去经历？

杰斐逊：第一，别试图当独行侠。我可是吃过大亏才明白这个道理。其他团队、其他公司——甚至你自己公司里——都有答案。你得找出他们是谁，而你不问就永远不会知道。 呃，回想起来，我本该在初期就向其他团队提出更精准的问题，那样就能提前三四个月获得答案。 其实最初就该加强协作——虽然我们很擅长合作，但本可以更快解决问题。回到独狼模式与特种部队模式的对比：这确实需要团队协作，没有人能包揽所有答案。所以寻求帮助至关重要。以我们为例，借助你们的咨询服务和战略服务帮助极大，首先让我们意识到：其实我们和其他人并无二致，并未落后于时代潮流。这令人欣慰。我们确实存在自身问题，但这很正常。首先确认"正常"状态是关键——若困守孤岛，总会误以为他人发展成熟度遥遥领先，迫使自己盲目追赶。 结果发现那不过是幻觉。但除非你真正接触其他同行的群体，交流探讨并尝试获取外部视角，否则根本意识不到这一点。

布伦达：嗯。

布伦达：好的。那么，我们接下来会展示几张关于Prevant的幻灯片，请做好准备。我们收到了不少问题。我想说明的是，关于Prevant的幻灯片共有两张。我们是魔力象限的领导者。 感谢劳氏等企业的战略合作，让我们能占据这样的地位。我们在产品和服务方面具有优势，正如杰斐逊所提到的产品战略，同时我们也深谙垂直领域和行业特性，并能协助制定该领域的战略。 我们的项目和平台已实现指数级扩张。在与劳氏、杰斐逊及其团队合作过程中，我们深刻认识到第三方乃至第n方企业成功所需的关键要素。杰斐逊可能在问答环节提及，他正计划将业务拓展至供应链管理领域。 这些正是我们希望融入项目的全局视角。值得一提的是，尽管我们拥有威胁监测项目VTM，但杰斐逊目前使用Bitsite获取威胁情报。我们已与其系统集成，通过高风险评分识别机制，使他能统一管理风险数据源，避免供应商需同时对接两个平台。 阿曼达，现在请您接手投票环节。我注意到有若干问题正在提交，接下来12到13分钟将留给杰斐逊解答这些问题。

阿曼达：没错，绝对没错。我现在就发布投票问题：未来几个月内，您是否计划扩充或建立第三方风险管理项目？我刚启动这个项目，恳请各位如实作答。我们会主动联系您——坦白说，如果还没联系过，我可能会亲自找您沟通。 注意到几个熟悉的名字。请务必参与。另外提醒大家，若期待后续跟进，请检查垃圾邮件箱。有时邮件会误入其中。我们确实准备了许多问题：首先能否分享共享评估框架的具体细节及链接？不知各位是否方便提供。

布伦达：我是共享评估指导委员会的成员。访问sharedassessments.org网站，您会发现其设有工具专区，可在此查找供应商vroom的相关信息。该平台还提供sig标准规范，以及SCA现场访问测试协议——如今我们已将其转为线上实施。因此sharedassessments.org是最佳起点。该平台是最佳起点。他们有位销售专员维姬·迪恩，若需获取她的邮箱地址，您可直接查询网站或联系我们，我们将为您转达以便直接联系她获取信息。

阿曼达：太好了。谢谢你，布伦达。下一个问题是：劳氏如何处理第三方与供应商向门店供货的差异？两个原本独立的团队如今紧密协作，特别是那些提供智能产品的供应商。

杰斐逊：问得好。这其实是多种因素的综合，具体到谁拥有什么权限我们不会深入讨论，但可以明确的是我们正在全面评估所有环节。 这其实要追溯到——你知道的，谈论CIA三要素。这里与情报机构无关，而是指任何资产的信息安全。想象一个三角形：一侧是保密性，另一侧是完整性与可用性。传统信息安全风险关注保密性，但在供应链领域我们关注的是可用性维度。这同样属于我们的职责范畴——我们必须确保所有合作制造商和供应商都具备业务连续性计划，既能持续向我们供货，又能抵御勒索软件攻击，或在突发事件（包括疫情冲击）中维持运营。 我曾参与一次业务连续性规划的桌面演练，当时选取大流行病作为情景事件——这比新冠疫情爆发早数月。我们当时完全没想到会发生，但该公司的业务影响分析和BCP方案中，他们认为大流行病将是最大威胁，结果证明他们完全正确。虽然这是我担任顾问时另一家公司的案例，但他们的判断确实精准。 关于供应链管理，若参考美国国家标准与技术研究院（NIST）新发布的增强版网络安全框架（1.1版），其中在"身份识别"类别下设有供应链风险专章——这至关重要。该框架能与共享评估机制结合，帮助我们精准定位供应链所需的管控措施。因此我们全面考量所有环节。

阿曼达：很好。好的。下一个问题是：如何处理不回应的供应商？是否要求ISG对延误等情况负责？

杰斐逊：不。首先，我们与业务部门协作。你又回到了那三线模式——业务部门是第一道防线。我们会协同他们与供应商沟通，发送提醒通知。实际上，基于特定时间框架的普遍提醒都是自动化的，这点很棒。 我们会告知业务部门："我们遇到了这些问题，建议你们联系供应商说明我们未获回应的情况。"最终，若供应商在多次提醒后仍不回应，他们可能会被标记为"不予推荐"状态。

布伦达：所以，我是说。

布伦达：那是红字，所以情况不妙。

阿曼达：你明白我的意思吗？好的，我们继续。这个是给你的，布伦达。这个平台能访问供应商数据库吗？还是需要通过评估来获取？

布伦达：所以有两种不同的方法。我们既有网络平台也有交易平台。有些公司选择只使用自己的专有问卷，或者采用主流的控制框架问卷；而另一些公司则会根据行业特性选择网络——比如医疗行业有医疗专属网络。 我们非常愿意建立零售网络，但目前仍在等待更多采用统一标准的企业加入。现阶段各公司仍沿用各自标准，我们希望为其构建市场化平台。评估服务可在此平台完成，若企业希望直接使用现成方案，我们同样支持。 若您需要整合或收集自有问卷内容，我们同样能提供支持。

阿曼达：完美。好的。现在回到杰斐逊的问题。你们如何管理业务关系的变更？这些变更如何反馈到内部核算体系中？

杰斐逊：这个问得好。你可以从关系层面来理解——即企业与客户的业务关系，以及具体业务往来的深度。理论上我们希望在业务往来层面评估所有风险，至少我们是这么做的。 因此单个业务关系可能涉及公司多个业务部门的协作，涵盖不同业务职能、数据类型等。理想情况下，当这些协作关系存在治理风险与合规风险时，应将多维协作风险逐级汇总，最终形成整体业务关系风险。

阿曼达：太好了。还有一个问题问你，杰斐逊。你提到的那些同龄群体叫什么名字？他们分布在哪些地方？

杰斐逊：嗯，首先我要说，这件事我得把布伦达推下车——因为正是她帮我们联系到其他遇到类似挑战的客户，我们和他们合作过。 RH信息共享联盟（ISAC）对我们零售行业而言尤为重要。不同行业其实都有各自的ISAC组织，本质上是信息共享平台。这些平台运作非常灵活，你可以在建立联系的过程中接触其他企业，分享最佳实践而不泄露专有信息。 此外还有本地会议，比如本地举办的ISACA会议及其他行业交流会。通过这些场合结识同行后，就能主动建立联系。至少在我们地区，信息安全圈子很小，很多人彼此认识不同公司的成员，这种关系往往在幕后自然形成。 目前尚未成立正式的社交团体，但希望未来能实现。

布伦达：那么从Prevalent的角度来看，如果您已是Prevalent的客户，可以直接联系[email protected]，了解是否有机会加入战略对等团队。 目前该小组已涵盖约五类不同企业，我们正努力控制规模扩张，因为采用的是高度系统化的运作模式。他们会邀请部分负责人旁听，仅由项目主管或负责人主导讨论议题，并通过团队协作和即时通讯获取信息。 因此杰斐逊将带三到四位团队成员参与，他们在后台向杰斐逊提问，若问题与主题相关，杰斐逊会将其引入讨论。若您有意加入Prevalent，请先了解参与方式，我们将共同探索合作方案。

杰斐逊：没错。

阿曼达：呃，我这里还有几个问题。我喜欢这个问题。对于第三方而言，有哪些领域或关注点可能即将浮出水面，值得您关注？

杰斐逊：要知道，当前第三方面临的最大威胁，勒索软件虽是老词汇，却依然猖獗。因此确保企业安全至关重要。补丁管理永不过时，这仍是第三方面临的难题。随着我们对运营技术（OT）的依赖日益加深，而信息技术（IT）却未能形成良好衔接—— IT与OT之间存在巨大风险，而许多企业至今尚未解决这个问题。

布伦达：是的。杰斐逊，从你的角度来看，在审视供应链管理时，确保内容、产品或服务能交付给客户的韧性同样至关重要。毕竟我们不仅要从威胁角度关注勒索软件和攻击，更要考量这些威胁对运输或制造环节的供应链会造成何种影响？

布伦达：这个问题怎么样？哦，抱歉。杰斐逊，你还没说完吗？

杰斐逊：不。请继续。

阿曼达：好的。那个，共享评估的2020年SIG报告怎么样？2018年和2019年之间有显著差异吗？

布伦达：我认为这个答案可以直接从共享评估中获得。他们非常出色地分享了已实施的差异化措施。再次强调，sharedassessments.org 网站能向您展示2019年至2020年的具体变化。我认为这是最可靠的信息来源。 我们确实计划遵循共享评估指南，在近期内发布2020年度数据。届时您可自行查阅，同时我们也将分享Delta版本的具体内容。

阿曼达：好的，如果时间允许的话，我们再问几个问题。如何让不同业务部门认同并采纳新平台流程等方案？

杰斐逊：这并非易事。其实幕后有大量安全意识工作在推进——对我们而言，十月正是网络安全宣传月。因此我们正借此契机开展巡回宣讲，在团队内部进行大量主题演讲，持续传播理念并逐步开展教育工作，通过午餐研讨会等形式与不同团队交流互动。 若你心急如焚，此事绝非朝夕可成。但随着时间推移，当人们意识到你并非昙花一现，而是长期坚守在此，且与你息息相关时，他们自会主动寻求合作。

布伦达：你另一项富有同理心的做法是主动联系相关人员。比如某个业务部门要对接二十多家供应商，我注意到你也会主动找他们沟通："嗨，我们在这里。 我们会协助你们推进工作，并明确你们需要负责的环节。这样理解对吗？”这种充分展现同理心的做法，我认为对你大有裨益。

杰斐逊：说得有道理。

阿曼达：好的。最后一个问题，我想我们还有时间讨论的是：25天的服务水平协议（SLA）是指完成最终决定，还是指整个采购流程的时限？问得好。不，这个时限指的是我们提交最终报告的时间。这是我们的目标。

布伦达：是的。整个流程从数据收集、分析、风险识别、验证到最终生成风险报告，报告会明确指出存在哪些风险，并给出三种建议：不建议、建议采取补救措施或建议采取行动。整个过程耗时25天。目前他们基本能按时完成这个周期。

阿曼达：很想听听你们的看法。好的。最后还有一个问题。其实你们刚才已经回答了，但我还是要再强调一次：当供应商无法或不愿配合时，你们如何处理最后一刻的评估？在信息缺失的情况下，你们根本无法进行风险评估。问号。

杰斐逊：既然没有相关信息，我们就用现有资源来评估。如果能获得类似比特评级的安全评级平台，我们会优先采用。 我们会利用所有可获取的资源，并考察其过往是否发生过安全事件。我们会给出建议，但同时会强调：我们目前掌握的信息有限，风险虽已知晓，但认知尚浅。需要获取更多信息后，再由业务部门作出决策。

布伦达：我觉得你最近在风险评估方面稍微偏高了，因为你强调他们风险更高——毕竟你用的都是现有数据，而不是要求他们提供的信息。

阿曼达：对。

阿曼达：好了，今天就到这里。现在是整点还是半点？搞不清具体时间。亚利桑那州这边是上午11点。各位，希望大家喜欢今天的节目。非常感谢杰斐逊和布伦达。很高兴见到你，杰斐逊。下次再见！

布伦达：谢谢你，阿曼达。再次恭喜你，杰斐逊。再见。

杰斐逊：再见，杰斐逊。再见。