第三方风险：制定业务和供应链基准的关键要求

彼得·舒马赫：欢迎各位参加今天的网络研讨会，主题是"企业与供应链基准测试的关键要求"。本次会议由两位第三方风险专家担任主讲嘉宾：Prevalent公司第三方风险副总裁布伦达·费拉罗，以及Tevora公司联邦第三方风险董事总经理杰里迈亚·萨尔伯格。我是彼得·舒马赫，担任本次研讨会的主持人。 在正式开始前，请允许我说明几项注意事项：首先提醒各位，所有参会者麦克风均处于静音状态。为保持会议互动性，请通过Zoom控制台提交问题。若时间允许，我们将在会议尾声安排问答环节。

彼得·舒马赫：本次内容预计持续约半小时，最后将安排问答环节。我们正在录制今天的网络研讨会，将在未来一两天内发送录播链接供后续观看。我知道各位参与并非为了听我发言，因此现在请布伦达和耶利米继续接手。

布伦达·费拉罗：非常感谢你，彼得。耶利米，今天能与你同台真是令人兴奋。请允许我简单介绍一下自己的背景，以便那些从未见过我或不认识我的听众了解—— 我全身心投入第三方风险领域，拥有事件响应背景，是认证流程大师，曾在金融和医疗健康领域工作。今天很高兴能与各位探讨业务韧性，以及如何帮助社区以全新视角审视第三方风险——毕竟我们的行业格局已然改变。

耶利米·萨尔伯格：非常感谢布伦达。我是耶利米·萨尔伯格，借此机会向尚未有缘相识的朋友们问好，也感谢彼得的引荐。与布伦达相似，我在网络安全领域深耕逾二十载。职业生涯始于联邦政府部门，后转战金融市场，并在医疗健康领域及支付卡行业（PCI）领域投入大量精力。 我曾担任过首席信息安全官，因此深谙内部应对第三方风险请求的实情——这与在座诸位在电话会议中讨论的情形如出一辙。

Jeremiah Salberg：同样地，我曾在市值300亿美元的娱乐集团负责供应商风险管理项目，希望今天能分享些相关经验。有人让我聊聊自己的趣事——如果没从事网络安全领域，我会做什么呢？ 说实话，我热爱美食，尤其钟情早餐。理想状态下，我会经营一家小早餐店，店里摆满书架，顾客可以边享用美味早餐和咖啡边翻阅书籍，喜欢的话还能直接购买。但现实并非如此，所以我成了网络安全从业者。 布伦达，你呢？如果不在网络安全领域工作，你会做什么？

布伦达·费拉罗：我超爱你提议的早餐约会。晚餐时我会去你家，因为我喜欢把早餐当晚餐吃。让我想想，如果我没从事网络安全领域的工作——嗯，回想年轻时的想法，小时候总会设想自己长大后想成为什么样的人。 我曾梦想成为全能艺人——演戏、跳舞、唱歌样样精通。不过在医疗公司任职期间，我也涉足过首席信息安全官领域，现在更倾向于继续深耕安全领域。 如果能在网络安全领域发展，或许会再次担任CISO，同时考虑教学工作。机会实在太多，所以如果无法从事网络安全，我可能会回归年轻时的梦想职业。但若必须调整当前目标并留在网络安全领域，那必然还是CISO。

耶利米·萨尔伯格：哦，太棒了。不过在我们深入讨论之前，能快速说说你最喜欢的早餐食物吗？

布伦达·费拉罗：一份美味的煎蛋卷，配上酸面团面包，再加一杯掺了少许奶油的咖啡。这就是我的首选。

耶利米·萨尔伯格：嗯，我饿了。不过今天我们不是来聊吃的，虽然我觉得这可以作为下次有趣的小型网络研讨会主题。我们今天要讨论的是业务韧性，在接下来的环节中会涉及几个不同主题。 我们将简要探讨业务连续性规划，包括如何审视自身方案以及需要重点关注的要素。我们确实身处一个全新的时代、全新的环境，所以——

耶利米·萨尔伯格：嗯，我们发现客户乃至我们自身都不得不启动业务连续性计划，因此我们将就此展开讨论。理解业务连续性的关键在于认清第三方如何填补服务空白、提供支持，以及在当今环境中如何助力企业转型变革。接下来我们将深入探讨这个话题。 在第三方供应链审查过程中，你会获得关于组织关键服务提供商的独特洞察。我们将探讨的核心问题是：这些服务是否存在重叠？是否存在优化空间？作为前首席信息安全官，我深有体会——布伦达你作为现任CISO想必也深有体会——我们都曾被各种问卷淹没。 那些铺天盖地的问卷有时内容雷同，有时各不相同，但确实会让人产生"问卷疲劳"。

耶利米·萨尔伯格：那么，作为负责审核这些问卷的人，现在是否有更优的处理方式呢？问卷疲劳问题确实从多个角度困扰着我们所有人。我们稍后会探讨这个议题。 最后，随着业务连续性管理推动当前变革，我们将更重视供应链的稳固性，确保建立恰当的管控机制。 虽然这些在现行合规框架中属于基础性要求，但未来必将接受更细致的评估。因此我们也将探讨相关核心概念。以上是本次讨论的核心议题，期间我们会穿插一些趣味环节。 今天我们准备了几项投票环节，布伦达，要不要请您来启动？

布伦达·费拉罗：没错，这其实是我们首次开展的投票。无论您此刻正在行走中收听节目，还是坐在办公桌前，都欢迎参与这个趣味互动。第一个问题是：当全世界注意到卫生纸供应链问题时，您是否立刻想到——等等，TP不仅代表卫生纸，还代表第三方？请稍等片刻。 当时大家都在说"厕纸短缺"，我脑子里第一个冒出的念头是：我们确实有第三方项目在推进，供应链问题也亟待解决。但把"TP"理解成"第三方"而非"厕纸"时，我忍不住笑出声来——这种错觉想必大家都感同身受。 我居住地周边确实一度物资短缺，但从目前情况看，供应正逐步恢复正常。不过确实，这种情况确实让每个人都深有体会。现在让我们看看业绩表现。彼得，不知您能否分享相关数据？

布伦达·费拉罗：哦，太好了，他们觉得这很有趣。嘿，最近我们确实需要多点幽默感，所以绝对没错。我喜欢那个，呃，那个反应。

布伦达·费拉罗：好的，很好。那么，杰里米亚，你能看到回复吗？还是只有我们能看到？我不确定。

Jeremiah Salberg：我也看到了，所以看起来，呃，差不多80%的人觉得这很有趣，而，呃，20%的人则联想到TP有多重含义，可能指的是那里的厕纸。

布伦达·费拉罗：真有趣。好的，太棒了。那么，我们继续深入探讨更多内容吧。当然。所以，您想详细解释一下这具体意味着什么吗？

耶利米·萨尔伯格：当然，绝对如此。企业韧性，你知道，这是决定组织成败的关键因素之一。因此当遭遇当前这类事件时，组织必须具备快速适应的能力。 我们已在多个行业见证了这种转变。餐饮业尤为明显——如今不再提供堂食服务，但发展出了路边取餐和大量外卖配送业务。不过企业首要关注的始终是保障员工安全。 这必须是业务韧性的首要原则，因为必须照顾好支撑组织运转的员工。其次要深入识别并理解组织内部的关键服务提供者。航空业显然需要飞行员持续执飞，医疗行业则需要医生随时待命。 因此必须识别关键服务提供者——超市员工值得我们致敬，正是他们确保了食品供应链的畅通。企业需要锁定这些核心人员，并制定保障关键业务服务持续运行的方案。 在瞬息万变的环境中，企业如何确保服务客户？如何真正做好准备？这需要审视业务连续性流程和灾难恢复机制，更要建立完善的沟通计划——不仅面向内部团队，更要向客户传递企业持续提供服务的承诺。 我知道您准备的幻灯片将深入探讨这个视角，但核心问题始终是：如何持续履行企业应尽之责？

布伦达·费拉罗：我觉得有趣的是，我们都曾在办公室工作，从未想过某些地区的人们会完全在家办公。 因此令我深感蹊跷的是：我们明明制定了业务连续性计划、灾难恢复方案，也建立了相关机制，但重点却始终未放在如何实现工作模式转型，以及需要建立哪些配套管控措施上。 在我们列出的八项措施中，我们正着手要求第三方不仅提供外部信息，更要提供企业内部数据——这关乎整体韧性的关键环节。其中网络安全事件响应尤为重要。 事件响应政策中至关重要的一环，不仅在于制定预案，更需定期开展情景模拟测试。通过测试通常能发现预案中的断层与漏洞，从而制定补救方案，使企业更充分地应对实际事件。 杰里迈亚，在Tevora的实践中，你从事件响应角度观察到合作企业有哪些表现？

耶利米·萨尔伯格：这个问题提得很好。嗯，我想先做个背景说明。我们作为一家组织，是PCI取证调查机构，因此从事大量事件响应和危机规划工作。我们曾协助多家客户完成年度演练流程，邀请高管参与并引导他们应对各种情景。 有趣的是，随着远程办公模式的普及，我们在许多场景演练中都重点模拟了物理环境的应对——当办公室不复存在，被迫转为居家远程办公时会发生什么。 通过这些演练，我们发现一个有趣现象：当你反复演练应急响应计划、进行桌面推演时，团队会逐渐形成肌肉记忆，知道如何灵活调整并转向替代性工作模式。客户反馈非常积极，他们表示三个月前刚演练过如何实现这种转变。 虽然远程办公模式存在若干缺口，但我们已将其纳入监控范围，并明确了应对步骤。 所以，即使没有实际事件发生，持续演练应急响应流程——尤其是通过桌面演练推演各种假设情境——确实能带来丰厚回报。企业韧性的核心要素，正是持续开展这些关键活动，从中汲取经验，并确保高管层充分了解这些机制，以便在危机来临时做出正确决策。

布伦达·费拉罗：是的，我完全同意。有次我在公司进行情景模拟测试时，虽然说不上有趣，但两周后——大概两到四周内——我们真的遇到了那个假设情景，而我们完全有备而来。这确实证明了实践训练的价值。 那么关键基础设施保护呢？我们原先的保护措施主要针对进出办公室、前往供应商现场等场景，确保笔记本电脑等设备在办公环境中的安全。 如今虽然转为居家办公模式，但我们也观察到网络状况的变化——企业不得不实施流量限制，或因延迟问题需要在灾难恢复计划中增设服务器等措施。那么在关键基础设施保护领域，您目前观察到哪些趋势？

耶利米·萨尔伯格：你知道，这很有意思。这真的取决于基础设施是如何搭建的。 云服务采用率激增，最近看到几份报告显示——不仅是通信类服务（Zoom会议、电话会议），核心业务服务也在向云端迁移，因为大家都在努力减少办公场所内的人员聚集。 因此，对于那些早在两年前就投入资金采用迁移模式的企业，以及过去几年持续优化这些服务的企业，我们看到它们能够充分利用现有优势，为远程办公做好了准备。 但某些组织，特别是制造业等拥有实体工厂的领域，仍面临困境——他们必须重新规划运营模式。我观察到不同行业存在显著差异，但那些在优化方案和云技术应用方面有所投入的企业，正开始真正收获回报。 终端安全同样至关重要——当原本存储在工作站的数据突然转移到笔记本电脑时，必须确保这些设备经过正确配置、有效管理，并为远程办公所需的信息处理活动做好准备。显然，前期规划在此类场景中发挥了关键作用。

布伦达·费拉罗：是的，我确实询问过我们排名前50的几家企业，问他们是否注意到关键第三方供应商名单的转变——即哪些供应商被视为关键，哪些不是？ 他们表示，目前尚未观察到企业分层策略的实质性变化——即对一级关键供应商的划分方式。但我们注意到关键控制措施正在调整：部分原本缺失的关键控制环节正逐渐成为核心要素。企业正着手建立相关管控机制，这确实是个积极信号。 最后我想谈谈本页的业务连续性问题——虽然所有内容都重要，但若详述恐将耗时良久。我们正经历供应链管理需求的不同波次激增，同时看到服务水平目标可能无法完全满足合同义务。关于业务连续性，您有哪些具体案例或建议？

耶利米·萨尔伯格：完全正确。所以，嗯，你看，审视你的供应链以及如何获取商品与服务——这个过程正在不断演变和变化。随着供应链逐渐趋紧，某些设备的价格也在波动。确保拥有多元化的采购渠道并为此做好规划，无疑是构建优质业务韧性模型的关键环节。 我分享个亲身经历：我妻子最近为女儿准备复活节篮子时，在亚马逊下单的商品要到4月20日才能发货，她当时就惊讶地表示"哎呀，这可真意外"。 亚马逊的运营模式发生了转变。我们不得不转战沃尔玛，这意味着需要切换供应链渠道。同样地，从组织角度看，企业必须建立多元化的物资采购路径，确保关键商品或服务供应链的稳定性。 当前形势下我们正处于这种转变的临界点，但归根结底，企业必须确保通过第三方生态系统获取和提供服务时拥有周密计划与备用方案，并意识到可能需要建立后备机制。 业务韧性中的良好运营连续性，本质上要求企业构建多元化的供应链体系——毕竟现有供应商未必能始终满足需求。

布伦达·费拉罗：既然大家都居家办公，家里可能还有孩子在旁边晃悠，所以我们正帮复活节兔子准备篮子装满礼物，这挺好的。

耶利米·萨尔伯格：当然。好的，那么我们进入第二个投票问题，彼得，请把这个问题弹出来。太棒了。那么，呃，这里是给所有人的问题。今天早上穿衣服时，呃，你有没有停下来想过，呃，我今天会不会参加视频会议，我到底需要打扮得多正式？ 嗯，是的，因为我得像电视上的气象主播那样保持体面——他们现在都在家办公。嗯，不，因为我根本不在乎；或者不，因为同事们也不会介意；又或者不，因为我不想暴露家里乱七八糟的景象，到处都是没叠的衣服。 嗯，我确实见过几个人在视频里展示家里，有时可能暴露得有点多。但这其实说明你的需求变了。作为每天进办公室上班的人，你原先的那些要求已经改变，这改变了你处理日常事务的方式，以及你需要做的事。 同样地，在商业领域，你的需求也会不断变化。因此我们必须审视这些变化的需求——它们是否改变了真正的必要性？或许某些具体行动已非必需，我们可以调整方向，转向新的领域，专注于更重要的事情。

布伦达·费拉罗：对了，我今天确实打扮了一番，不过今天没开视频，所以……不过我发现居家办公的新标配是抓绒外套。真好奇等夏天来临我们该穿什么。我懂。 希望没说太多闲话。不知道投票结果是否显示了，彼得，你能把屏幕切换过来吗？不过嘛……

彼得·舒马赫：没错，你应该能看到。

布伦达·费拉罗：我们没有。所以也许你可以把信息分享给你。

彼得·舒马赫：结果真是五花八门呢。排在首位的是"是的，我必须保持体面"，占33%；其次是"不，我知道同事们不会在意"，占31%；接着是"不，我不在意"，占20%；最后是"洗衣"这个选项，占15%。真是五花八门。 感谢分享。

布伦达·费拉罗：好的，接下来我们来谈谈关键风险指标。正如我们刚才讨论的居家办公带来的着装变化那样，我们正识别出大量转变与调整。 我们正将更多关注点转向终端方，以及与众多合作企业协作过程中存在的风险跨度，同时关注当前威胁态势可能出现的动态变化。 同时，我们也在追踪既往识别风险的进展——这些风险是否得到缓解？是否需要调整应对策略？其重要性是否已降低？通过威胁评分监测与问卷调查，我们全面掌握扫描范围及业务监控状况（不仅限于网络监控）， 通过多维视角审视：存在哪些关联节点？是否涉及数据处理？是否有业务单元依赖信息传递？是否提供服务？是否提供支撑业务持续运行的软件应用？我们常将整体视图拆解为零散片段，需通过不同产品类型进行关联分析。 而您真正需要的是像Prevalent这样的产品与解决方案，它能将所有信息整合到统一视图中。例如，以位于核心的Acme公司为例，其与第三方、分级实体、次级处理者之间存在大量互联关系，数据也在各节点间持续流动。 我注意到，在当今商业环境中，这已成为至关重要的议题——它深刻影响着企业运营模式的变革。我们能协助企业理解：为何这些第三方乃至第n方对业务至关重要？能否根据其受影响程度，调整相关环节的运作方式？

耶利米·萨尔伯格：说得真好。嗯，这种可视化效果确实很关键，中间那个蜘蛛图特别棒，能清晰呈现他们的现状，还有需要了解的第三方和第四方关系，真是独到见解。关于疲劳问题，你刚才提过一点，我们深入探讨下。

耶利米·萨尔伯格：当然，绝对如此。这确实涉及多个层面。但从第三方角度来看，任何担任过首席信息安全官或负责处理第三方响应的人都深有体会——就在今天，我还在为我们合作的医疗机构填写另一份问卷调查。 这类问卷层出不穷，更令人惊讶的是，至今仍有不少机构停留在1990年代的电子表格操作模式。 虽然问卷模式本身确实存在，但近年来管理该流程的机制已得到显著改进，像Prevalent这样的解决方案能帮助实现自动化并简化流程。 在审核问卷反馈内容时，关键在于实现信息标准化——需跨不同业务单元（如使用特定供应商的企业）或供应商类型（达到特定阈值的企业）进行统一处理，无论其规模大小、是否为云服务供应商，从而提升第三方审核流程的效率。 这类平台的优势在于能建立自动化规则。 我观察到组织普遍存在的一个典型问题：当使用传统问卷（即通过电子表格询问"是否开展某项业务活动？若开展请附政策文件"）时，供应商虽回答"是"却未附文件，导致后续需要反复沟通。 我们现有的系统能实现自动化智能判断：当用户回答"是"时，系统会强制要求其提交证明材料或其他文件。这极大提升了流程效率，减少了往返沟通时间，最终缩短了评估周期——而评估周期正是衡量项目成功与否的关键指标。 如何缩短处理时间？如何确保准确性？如何通过时间戳追溯填写人、内容及时间？此外，当所有信息汇入存储库后，即可回溯分析：在特定情境下哪些供应商存在此类特征？当新漏洞出现时， 我想知道有多少云服务供应商可能受此影响，因为我可能需要联系供应商生态系统获取洞察，从而更好地管理组织风险。归根结底——这也是我们反复强调的核心——第三方评估计划的真正目标在于理解外包风险。 通过整合洞察、关联数据并进行汇总，不仅能复用这些信息，还能实时分析项目进展、供应商状态——例如已审核供应商数量、正在执行整改与审批流程的供应商数量。因此，市面上确实存在能有效缓解问卷疲劳的解决方案。

布伦达·费拉罗：是的，我觉得有趣的是，嗯，回归基本点，你必须清楚地知道你的供应商组合或概况究竟是什么。我们开始注意到一种趋势：人们开始通过询问基本要素来了解自身固有风险。 因此，理解供应商的业务性质、其能为我提供哪些服务、我与他们的互动方式，将有助于对庞大的供应商和第三方清单进行分类、分层或筛选。进而根据相关性筛选信息，聚焦关键需求而非面面俱到。 我正观察到这类趋势，它不仅助力企业履行尽职调查，也为供应商和第三方提供了更清晰的响应方向。这无疑是积极的发展态势。

耶利米·萨尔伯格：确实如此。请允许我稍作退让，补充最后一点。 我知道时间有点长了，但作为第三方项目的负责人，与供应商洽谈时首要问题就是：你是否读懂并理解他们为组织提供的服务内容？另一个关键点是：是否存在提供同类服务的供应商重叠现象？ 这直接关系到业务韧性。 若能及早识别并标记出两家供应商提供完全相同的服务，往往能提升业务韧性。我们常会审查供应商：一家可能借助广告领域的第三方服务商，另一家来自金融领域，还有一家或许专注内容或运营，但它们可能提供相同服务——只是因存在合作关系而分属不同公司。 当企业规模达到中等程度时，供应商生态系统中就会出现大量功能重叠现象。若能妥善追踪这些信息，反而能为业务流程增添额外的韧性保障。

布伦达·费拉罗：完全正确，我完全同意。

耶利米·萨尔伯格：嗯，目前监管机构都相当灵活，允许机构进行远程评估和远程审计。但所有这些框架的核心要素之一，就是必须对第三方项目有深入了解——有时还包括提供关键服务的第四方乃至第n方。 因此需要确保做到：这些要求要求你建立服务供应商清单——我们之前讨论过，必须建立完整详尽的服务供应商清单，但不仅如此，还必须将其整合到新供应商入职流程中。 必须建立审核机制，确保供应商具备适当的安全控制措施。最终目标是验证服务提供商能否与贵机构的信息安全政策及预期要求相契合，并至少达到贵组织设定的最低安全门槛。

耶利米·萨尔伯格：嗯，这些框架还要求您定期审查第三方供应商。像Prevalent这样的平台和工具，确实能帮助您实现这一目标。当我协助客户管理这些项目时，他们关注的关键绩效指标包括：整个审查流程耗时多久？ 因此建立一套可量化的系统至关重要：从发送问卷开始，到供应商完成问卷并进行分析，再到指定评估人员完成审核，最终给予"绿灯"（放行）或"红灯"（拒绝）的整个周期——衡量这个流程的耗时无疑是核心指标。 另一个指标是：已审核供应商数量是否与审核流程匹配？关键指标还包括：每家供应商的审核成本是多少？需要倒推计算：假设审核项目成本为X，现有Y家供应商，那么单次审核成本是多少？必须确保该成本符合组织的风险承受能力。 嗯，而最重要的指标或许是能够衡量并维持供应商状态：有多少供应商已获批准，有多少正在整改但仍在合作（且已制定整改计划），以及可能有多少供应商已被拒绝合作。 这些都是评估项目时需关注的关键要素。归根结底，正如我之前所说，第三方评估项目的核心目标是深入理解外包风险并获取相关洞察。时间所剩不多，布伦达，您对上述要点有何见解？

布伦达·费拉罗：是的，关于合规性问题，我快速补充一点：即使使用Excel电子表格（希望听完这期节目后大家以后都不会再用这种方式），也务必确保能够通过不同视角和维度审视内容。 比如当有人需要了解第三方提供的内容如何符合PCI、GDPR或HIPAA等合规要求时，你就能将相关信息精准推送给需要从特定角度审视的对象，同时过滤掉对个人无关紧要但对整体业务至关重要的冗余信息。当然，关键是要掌握数据并据此采取行动。 我非常重视数据指标，确保信息完整性。 我完全赞同您的观点。在探讨如何提供帮助时，Prevalent正向所有人免费提供业务韧性解决方案，旨在助力当下环境应对挑战。我们需将内容与行动关联起来，预判未来监管机构明确要求时（例如要求了解X、Y、Z等事项）所需的准备工作。 我们已从有限视角主动思考：哪些信息因相关性而必须掌握。今日链接在此，彼得还将提供PDF版演示文稿，您可直接点击或通过邮件获取。 其中包含演示、样本报告、问题示例PDF，以及——Tevora正在采取哪些措施来应对当前的挑战？

耶利米·萨尔伯格：当然。所以，呃，我们在这个领域为客户提供的关键服务之一，我们主要有两项核心服务。第一，我们协助客户构建、重建或改造他们的第三方项目，并协助运营这些项目。 当然，必须配备像Prevalent这样的专业工具和平台，但前期需要大量咨询工作来确保：首先，供应商库存系统输入数据的准确性——这些数据是从合同系统提取的，还是其他来源？ 此外还需确保信息安全政策与第三方签订的安全合同保持一致。 因此在合同签订过程中，若存在安全附件或其他条款明确规定对方应履行的义务，需确保这两者保持一致。同时在审查环节提问时——例如询问对方是否执行了某项要求——必须确认： 这是否符合您在合同中设定的安全要求？是否符合您自身的信息安全政策？因此，实现恰当的协调一致是确保第三方系统高效运作的关键环节。我们正致力于提供这方面的支持。

耶利米·萨尔伯格：我们协助企业将该流程融入其内部体系，确保业务部门在采购过程中能及时启动第三方审核程序——毕竟这个过程确实需要时间。 最后，我们协助企业制定升级处理规则——例如当需要绕过常规流程时，或存在高管强制指定使用特定第三方供应商的例外情况（即便存在安全风险）。同时确保该实体具备完善的风险接受流程来记录相关决策。 因此规则可存在例外情况，但我们始终专注于第三方计划的网络安全咨询领域。

布伦达·费拉罗：是的，我们讨论这个话题时，你提到最让我欣赏的是贵公司通过协调问题设计、工作流程、合同条款等环节来完善问卷流程。这点做得非常出色。好的，现在进入第三个投票问题，之后我们会为在线听众解答疑问。彼得，你来展示一下吗？ 那么，您是否愿意与Prevalent合作，进行免费的企业韧性评估以基准测试您的项目？我们已取得显著成效——客户能借此识别关键供应商及第三方合作伙伴，我们可为您提供支持。现在就为您开启这个机会。接下来我们将进入问答环节。

彼得·舒马赫：好的，那么现在需要各位开始在问答面板输入问题，你们会在Zoom屏幕上看到这个面板。请务必把握这个机会——我们有两位第三方风险专家在线，随时准备解答任何疑问。大家既可以在Zoom的问答区输入问题，也可以直接在聊天框中提问。 请各位稍等片刻，以便输入问题。

彼得·舒马赫：然后看起来，呃，大多数人都坚持到了最后36分钟，这真是个好消息。

布伦达·费拉罗：感谢大家一直陪伴着我们。是的。

耶利米·萨尔伯格：我们非常感谢各位今天在百忙之中抽出时间，与我们共同探讨这个领域的部分见解。即使这些问题或某些想法在今天的会议结束后才浮现，也请随时与我们联系。 后续肯定会有跟进沟通。请放心，布伦达和我都会在此解答疑问——或许不是当下，但问题总会浮现。这绝对是我们乐意为您提供支持的事项。

彼得·舒马赫：好的，谢谢你，耶利米。我看到有几位朋友举手提问。这里应该有个举手按钮。如果方便的话，请直接在问答区输入问题。我不想开启语音通道——除非实在必要。

布伦达·费拉罗：不过别担心，如果他们最终不得不开通语音频道，我绝对可以参与进来——必要时带只狗进来，让狗在背景里狂吠。

耶利米·萨尔伯格：是啊，幸运的是，我居家办公已有好几年了，所以我的处境——嗯，希望还算可控，孩子们都在楼上，附近也没有宠物。不过，我们最近都经历过——那些平时不居家办公的同事，也遭遇了我们共同面临的干扰。 嗯，看到聊天框里有些积极反馈，然后这里有个问题。那么，我们来看看，你如何通过问卷评估来衡量韧性？又该如何验证呢，耶利米？

布伦达·费拉罗：你要我接手这个，还是你先开始？如果你不介意，我可以接着那个话题补充。

耶利米·萨尔伯格：好的，太好了。

布伦达·费拉罗：问卷调查本身不仅能开启对话，更能帮助我们了解现有的各类管控措施。涉及业务韧性时，务必确保通过提问并根据反馈采取相应行动。 例如假设你设计了10个问题，就需要确保这些问题能实现以下目标：要么将问题上报至特定部门，要么追踪关键信息，要么直接触发行动机制以获取所需知识。 最关键的是确认客户是否受到影响，其次是判断其业务是否面临停摆风险——这将迫使你做出基于风险的业务转移决策。 但内容收集至关重要——若现有问卷未能提前揭示这些问题，这将为加强供应商关系提供绝佳契机，帮助他们协同应对变革需求。杰里迈亚，您怎么看？

耶利米·萨尔伯格：完全正确。我完全赞同你的观点，问卷调查确实能开启讨论和对话，让你能提出后续问题和跟进问题。每个为你提供服务的供应商，在满足你需求方面都会有独特的侧重点。 比如他们可能从事软件开发，也可能提供商品或某种服务。因此需要了解他们的地理位置、组织规模等信息。问卷中总会包含这类背景问题，帮助你建立认知框架。 但当您提出这些问题并了解其服务内容时，就能帮助您做出判断：他们是否需要、是否依赖、是否使用数据中心？使用的是何种数据中心？是AWS云服务？还是非主流数据中心？ 那么，这类非主流数据中心是否具备足够的容错能力？比如达到99.99%或99.999%的可用性标准，以支撑其背后的服务需求？ 所以这其实像，布伦达你刚才提到的，这只是讨论的开端，但关键取决于所提供服务的具体内容——你需要理解并提出假设性问题：这个方案是否具备满足贵组织需求的足够弹性？希望答案是肯定的。如果不是，请随时跟进。我们很乐意后续进行更深入的探讨。

彼得·舒马赫：谢谢你，杰里迈亚。是的，我们在这张幻灯片上确实提供了几个电子邮箱地址。不过，你也会在本次会议的录音资料中收到这些幻灯片。 我将在明天早晨前发送。欢迎随时回复邮件，我会将问题转交布伦达和耶利米处理。目前提问区已无其他问题。各位分享的实用技巧和精彩讨论都非常出色，相信已解答了大家的好奇心，因此不再需要提问。 我们现在可以结束会议了。非常感谢布伦达，也感谢耶利米。请各位注意安全——虽然想说"在外注意安全"，但其实是指居家安全。请在家中保持安全，祝大家好运。各位保重。

布伦达·费拉罗：谢谢。保重。