TPRM 101：如何让供应商响应风险评估

艾米·特威德：好的，欢迎各位这么早就陆续到场。看，又有人来了。太好了。无论你们身处何地，无论此刻是你们当地的什么时间，都很高兴大家今天能齐聚一堂。我们非常期待开展这次网络研讨会。稍等片刻，我将发起一项投票，了解各位参与的原因——是什么让你们今天来到这里。 我们真心想了解大家的求知动机和参与目的。趁此机会，我会同步说明会议规则并进行自我介绍。请各位就座放松后，花点时间回答投票。今天与我同台的是布伦达·费拉罗，她是Prevalent公司的第三方风险副总裁。她将为大家讲解第三方风险管理入门知识，包括如何促使供应商响应风险评估。今天我们将探讨许多实用内容。我是艾米·特威德，在Pre担任业务发展经理。我将随时解答大家的疑问。下方设有问答功能区， 同时设有聊天功能。在聆听学习过程中，请随时提问，我们希望保持最大程度的互动性。需要说明的是，各位摄像头已关闭，麦克风处于静音状态，但请放心提问。此外，我将穿插进行投票环节。布伦达，您今天感觉如何？我非常期待。

布伦达·费拉罗：我很好。你呢？

艾米·特威德：我很好，谢谢。

布伦达·费拉罗：兴奋得不得了。

艾米·特威德：好的。今天要讨论的内容很多。嗯，投票问题还在开放中，我们再留10秒钟时间。各位就座后，请告诉我们今天为何前来。无论是教育项目调研、即将开展的第三方风险管理项目，还是不确定自己为何在此—— 比如"我怎么又跑来这儿了？"——尽管自问自答。看来没人回答这个问题呢。看来大家都是有目的而来的。我们还有几位重要客户在场。非常欢迎各位。好，现在结束投票。布伦达，请开始吧。

布伦达·费拉罗：好的，谢谢艾米。正如她在本次网络研讨会中多次提到的，我们希望大家能随时提问，艾米会实时出现在屏幕上为您解答。请确保全程保持参与。 我们还将在研讨会过程中穿插投票环节，以便我了解听众需求，从而针对性地分享内容。当艾米出现时，我会暂停当前发言，或完成当前句式后立即转入屏幕展示环节，为您解答问题。 好的。那么如何让供应商响应风险评估？这似乎是最大的痛点之一，且存在多重原因。在今天的演讲中，我将提供一些技巧和基础信息，供各位参考并融入自身项目体系。 我将探讨的内容包括：需要在现有平台之外建立的流程体系；以及应纳入第三方风险管理平台的功能模块——自动化是提升效率的关键，但更重要的是确保操作准确性。现在进入议程环节，今天我们将重点讨论以下五个核心议题（内容将更丰富）。 鉴于主题重要性，我将尽可能在这一小时内涵盖所有内容。首要任务是确保更高的响应率与沟通效率——向供应商、业务部门及组织阐明行动目标与依据，这为成功奠定基础。 接下来我们将探讨具体方法。其次是建立合理预期。我们既要明确对供应商的交付时限要求，也需考量对方实际响应能力。若发现风险漏洞或控制措施缺失，供应商需要多长时间才能完善防护体系？ 此外，当缺乏有效对接窗口时该如何应对？会议结束前我刚参加完一场研讨会（稍后将重返会场），会上CISO们特别强调：年度审查的核心任务正是解决对接缺失问题。因为当向各供应商询问其安全态势时， 通常要么是安全状况有所改善，要么是威胁态势发生变化——你必须主动询问才能确认其防护措施是否到位。 但最关键的核心在于建立联络窗口。若无联络窗口，如何开展安全评估？若无联络窗口，当发生安全事件或需要紧急响应时，如何获取必要信息？这正是我们后续要探讨的重点。接着我们将深入讨论如何追踪信息反馈， 接下来探讨行政疲劳及其破解之道。最后聚焦供应商风险情报的运用——我们是主动利用还是被动等待反馈？所有这些议题都将涵盖。在讨论如何优化响应率的沟通策略前，艾米，请先启动首轮投票，看看听众今日的立场与观点。

艾米·特威德：好的，现在进行投票提问。您在获取供应商反馈时是否遇到困难？请简单回答：是、否、不确定。 请花点时间回答。记得我在某大型企业负责第三方风险评估项目时，这正是我们最棘手的环节。我们尝试过多种方法——这些经验我将与大家分享，同时也会介绍如今为其他企业开展的策略研讨会，参与者们总能展现出极富创意的解决方案。 因此，我希望今天讨论的所有内容能：要么引发共鸣，提醒您持续关注；要么为您带来新的思路。

艾米·特威德：很好。好的，我将在三、二、一后结束投票。我们收到了大量反馈，现在分享结果：多数是赞成票，少数反对票，还有些不确定。

布伦达·费拉罗：好的。那么，本次网络研讨会和演讲正是为您准备的。很高兴您能参与。很好。

布伦达·费拉罗：今天我们定会全力协助各位。感谢大家参与，现在开始吧。首先让我们探讨四种主动沟通技巧。虽然我可以深入讲解攻击型沟通、回避型沟通等各类社交风格，但这并非今日重点。 开场我们就将聚焦这四项要点：通过合同条款确保供应商遵守项目规范，我们将深入探讨；其次是初始尽职调查与持续尽职调查的实施策略。 在此基础上，我们将探讨持续状态更新与报告机制——作为个人，最困扰我的情况是：当我接受检测或审计时，不仅需要明确整改事项，更需要协商整改时限。整个过程必须保持沟通追踪，若风险状态改善，更应及时给予肯定反馈。 对于最成熟的企业，供应商风险评估会议是关键环节——他们能通过内部（有时外部）会议教育并告知项目进展及成效。现在进入本场网络研讨会的合同章节：你们有主服务协议、业务合作协议，可能还有其他类型协议。 但每份协议中，我发现并建议其他公司在战略讨论时必须包含第三方风险管理计划专章。篇幅无需冗长，一两段简明说明即可，同时明确评估类型预期。 这与合同中常见的年度审计条款完全独立。此前我常遇到这样的问题：签约方、供应商管理部门、采购部门或供应链部门（无论由谁负责）总要求我逐条修改合同条款。

布伦达·费拉罗：那些红线条款涉及安全环境、第三方风险管理甚至年度评估。后来我意识到，天啊，我花在处理截止日期上的时间实在太多了。 我并非法律专业出身，没有法学学位。我真正希望他们理解的是：必须遵守我们的第三方风险管理计划。无论是否发生事件，都需及时响应；无论是否接受评估，都必须完成评估流程。若有特殊豁免条款，我会明确写入合同。但我的目标是让条款变得"无法标红"。 "不可修改"这个词在韦氏词典里找不到。可能是我的自创词，也可能是行业惯用语但未被正式收录。现在请在合同中增设TPRM条款。另一项有效措施是在某些合同中添加信息安全补充条款。 针对特定类别的供应商，我们会确保将信息安全条款附加于合同，并与适用于该类业务的关键控制措施相对应。我们在其他网络研讨会中讨论过关键控制措施——这些是开展特定服务业务时必须具备的控制要素。条款会简要列明控制措施的概要、预期效果及实施原因。 这样供应商在正式评估前或初步评估后，就能明确我们后续将重点关注的环节。从关键绩效指标和关键风险指标的角度来看，这种做法极具价值——因为在项目初期，各部门协作往往不够顺畅。

布伦达·费拉罗： 采购部门可能认为某些事务归其管辖，第三方风险部门可能认为某些事务归其管辖，合规部门可能认为某些事务归其管辖。在这些职能尚未集中管理之前，必须向这些组织和部门证明：这不仅有助于第三方风险管理（TPRM），同样能为他们创造价值——试想，避免反复修改文件、来回协商是否需要进行此类评估所节省的时间。 必须执行此类评估。近期约25位第三方风险管理从业者展开讨论：关于评估内容的完成预期，究竟该采用专属问卷、标准问卷，还是登录特定平台填写网络问卷？答案是：必须完成。 企业不会让审计员上门索要"自我评估报告"——这种情况从不存在。企业做自我评估只是为审计做准备，但绝不会主动提交报告说"请审计我"。审计员会主动上门审查。同样地，我们也要对第三方风险供应商采取这种方式。 我们将主动索取信息并运行威胁情报报告，以验证其安全态势是否稳固。这些关键绩效指标（KPI）和关键信息指标（KIS）极具价值——它们能明确指出哪些企业符合合规要求，哪些供应商切实履行了合同中规定的第三方风险管理计划义务。由于无需反复修改标注信息，合同签署效率正显著提升。 另一关键点在于供应商响应度。若供应商拒绝配合或刻意回避该条款，这本身就是警示信号——他们为何不愿参与第三方风险管理以保障生态系统安全？这些合同条款将切实助力您的风险管控。若尚未实施，建议尽快推进。当然，这可能造成信息过载——毕竟涉及的措施体系庞大且步骤繁多。

布伦达·费拉罗：所以，您可能需要拍摄现场画面。这段录像会作为录制课程发送到您的邮箱。有时我们也会提供PDF版本。当您与供应商共同推进工作时，其实是在建立合作关系。 这种关系需要尽早建立并持续维系。因为当事件发生时，你需要供应商主动提供信息，同时也要通过前期铺垫表明：我怀着同理心在此协助保障安全，致力于促成双方成功合作。为此我已制定相关措施，确保你充分了解我们何时、为何、如何以及多快采取行动。因此需要向专业人士、内部关键利益相关者发布项目启动公告，同时向供应商（无论是关键供应商还是全部供应商）宣告项目启动及具体要求。 这为后续沟通奠定基础：既能向供应商阐明计划（虽可能调整），又能要求其配合执行；同时让内部利益相关方知晓您正与供应商沟通——因为采购专员或采购部门有时会陷入尴尬境地："等等， 我们才是唯一对接供应商的部门，现在你们也开始接触供应商了？具体说了什么？收集了哪些信息？"因此，这有助于建立更完善的沟通架构，协调供应商关系中的内部与外部利益相关方。 现在谈谈欢迎计划。当你主动联系供应商进行评估时，就需要启动这个计划。你需要明确计划预期："欢迎加入我们的计划。这是我们开展评估的原因，这是我们对你的期望，接下来将发生什么。"很多情况下，如果你通过平台操作，平台可以代你发布这个通知。

布伦达·费拉罗：您不必在平台外部操作，但若愿意，也可以选择这样做。这只是您需要追踪流程中的额外步骤。现在，当您告知他们后续步骤时，请确保向他们说明预期事项。希望这些说明能指向您需要收集的相关信息。 若您已采用标准化问卷，但使用的是通用模板，需注意该模板未必适用于每份合同。例如软件开发人员可能需要特定问题。 若需添加勒索软件相关问题，务必注明设有专门的勒索软件回答板块。同时需提供时间线，确保系统或平台内嵌的邮件提醒能在规定时限内触发。我通常建议至少进行三次提醒：首次通知后，需再次确认对方是否收到通知； 第二次提醒时说明：我们正在确认您是否收到通知。您还有几周/几天/具体时限（根据所需完成速度调整）来处理。同时必须告知不响应的后果——您不能只提供任务却不告知截止日期及违约后果。 许多公司会采取温和或强硬的应对方式。强硬手段是声明"我们将停止付款"；温和方式则是表示"若您遇到困难，我们可为您延长截止日期，或者您是否愿意安排通话？亦或您可内部升级处理？" 如今尽职调查至关重要，因为各方都已疲于应对——尤其在勒索软件攻击频发、各方都在发送调查问卷的背景下。企业仍需填写专属问卷，而至今无人能将专属问卷与标准问卷实现交叉核对。

布伦达·费拉罗：有些公司正在研究这个问题，所以当你开始进行映射工作时——普雷万特就是其中之一。我们已开始审视一些标准问卷，确保将它们映射并建立关联。但除非找到唯一解决方案，否则这将非常困难，而我们尚未攻克这个难题。我们需要善待供应商，因为你希望他们专注于风险修复，而非持续报告漏洞。要建立与供应商的直接沟通渠道。其次是邮件提醒机制——确保设置硬性或软性预警，并确认对方已收到通知。 若供应商未回应，务必不仅报告表现良好的供应商，也要报告未回应的供应商，这样就能为这些特定供应商标记风险。现在进入初始风险摘要阶段，你将开始执行审查。信息将反馈给你，若尚未启动，你需要运行威胁情报报告。 您将根据嵌入式风险容忍度对风险进行分类。通过分析项目相关风险，您可生成初始风险摘要报告。该报告需与供应商共享，告知对方："感谢您配合提供信息。 以下是我们计划深入审查的重点事项。待最终风险报告出具或与贵方协商确定风险整改方案后，我们将建立追踪机制，确保这些事项能在年度审查之外及时关闭——我们需要实时掌握整改进度。艾米，现在似乎有问题需要解答。

艾米·特威德：是的，我们有几个问题。最近加入的成员不多，所以如果您有任何疑问，请使用问答或聊天功能，我们会尽快为您解答。目前有两个问题，布伦达。

布伦达·费拉罗：第一个问题是，是否有可共享的勒索软件调查问卷模板？是的，Prevalent公司有一份模板，他们在医疗保健行业及其他领域都在使用，包含约11个问题。 上周或前周我们举办过勒索软件网络研讨会，其中就列出了这11个问题。因此您可获取现成模板——通过注册参加该研讨会，或联系艾米·特威特（邮箱：[email protected]）索取副本。

艾米·特威德：好的，很乐意帮忙。呃，还有一个问题。目前我们面临的问题是：当与规模远超我们的供应商打交道时，该如何处理这种情况？比如微软和苹果这类全球巨头。

布伦达·费拉罗：是的。 因此，我称之为巨型企业。主要是在与这些企业合作时，我会收集他们获取的信息——有时他们会共享信息收集问卷，有时会填写现行控制框架——但我会确保他们至少完成我所说的信息收集问卷（通常不超过10到20个问题），然后基于此审查他们的第二阶段报告并识别风险。 这类企业通常具有前瞻性的安全态势。当然我们发现，无论是微软这类巨头还是中小型企业都可能遭受攻击。因此要确保信息相关性，尽可能访问其SharePoint站点提取数据并导入系统，以支持风险识别。针对巨头企业，我们当前重点关注数字化转型。 因此，务必评估其缺陷管理、渗透测试等软件程序能力。这正是评估巨头企业时需重点关注的环节——毕竟它们长期深耕安全领域，有时甚至引领着安全态势的发展。所以，嗯，要信任它们，但信任程度需有所保留。 希望这些建议有所帮助。现在进入最终风险总结和更新风险总结环节——这是本主题的最后两项内容——请将风险进行标准化处理。 当您进行风险审查时，若将风险嵌入平台或使用电子表格管理风险（希望您不必如此，因这会变得非常耗时），请确保这些信息能与威胁情报系统联动，并对接您开展的验证评估（如有）。 我们过去进行的现场评估，未来或许能恢复，但在此之前可通过虚拟验证评估来测试控制措施。因此这三个风险杠杆都需要标准化。同时要向利益相关方通报进展，不要对内部人员隐瞒特定供应商的情况。 向他们提供洞察：在风险摘要报告中抄送相关人员，告知当前态势。毕竟第三方风险管理团队本质上是风险预警职能——你们向业务部门提示预警信号，而业务部门则需负责消除这些信号，或确保供应商遵循风险整改措施（无论由第三方风险管理团队执行，还是由客户经理主导）。同时需持续追踪这些风险。 我们需要将所有人的工作模式从第三方风险年度评估（这对联络点而言固然重要，因为必须执行）转变为持续性、近乎实时的评估机制。 无论是供应商威胁监测系统触发的警报，还是事后追溯的风险事件（如勒索软件攻击或安全事故响应），都应促使企业转向主动风险管理模式。关键在于共享风险情报、协商应对方案并实施追踪。在进入最后议题前，还有一个问题需要澄清。

艾米·特威德：是的，还有一个问题。对于那些支出门槛过低而无法回应问卷调查，或接受合同展览增补的供应商，你们如何处理？

布伦达·费拉罗：当时我遇到了一个很有意思的情况，我们确保业务部门明白：如果是小型公司，只会要求其提供相关且不过于详尽的信息。第一点，第二点，你可以采用两种方法。其一，可以适当提高支付给供应商的费用，以换取更详尽的反馈。 其次，即使面对中大型企业提出"若要求我们进行评估，需预付1000、2000等金额"的要求，也应将其写入合同并支付相应费用，以此获取所需信息。这就是我给出的解决方案。 最后关于更新版风险摘要报告：追踪变更情况，相应调整摘要报告内容后发送给相关方。若进展良好可致谢，若发现问题则需指出"我们发现某些需要改进之处"，同时要求对方说明针对该风险采取的具体措施。 同时需向内外部利益相关方通报进展，并上报任何未达成的服务等级协议（SLA）。服务水平目标、服务水平指标及服务等级协议均需向指导委员会汇报，这将有助于加强内部协作关系及与供应商的合作关系。 好的，现在进入第三项内容，分为3A和3B两部分。由于内容较多无法集中呈现，这里提供若干支持供应商合规性的报告。 其一是实体档案报告。该报告能帮助评估者全面掌握各类工作流的状态：其生命周期所处阶段、风险如何应用于基准评估、生成任务的执行情况，同时可存储并反映合同协议内容。这相当于了解供应商生命周期状态的一站式平台。另一项是威胁监测。您不应将其视为次要补充措施，而应作为对所有供应商的常规操作。该功能可快速生成足够清晰的报告并与供应商共享。切勿仅告知"我们已为您运行威胁报告"，否则对方可能反驳："天哪，您不能在系统运行期间进行渗透测试。" "——这种情况根本不存在。所有信息均来自公开渠道。所以请原谅我这么说：直接运行报告并展示给他们看。财务报告同样重要。现在我需要喘口气喝点水润喉。艾米，请你先提问。

艾米·特威德：嗯。稍等一下。热门话题。好的。这个问题的意思是，对于供应商评估，推荐使用哪些自动化工具？或者说行业标准是什么？

布伦达·费拉罗：我们主流的方案就是其中之一。嗯，有供应商威胁监控系统，还有我们的系统。您或许可以研究同态加密技术，它能帮助规避某些加密场景的风险。这类技术实在太多。但从平台角度出发，请务必考察我们的系统并尽可能采用行业标准。 我先静音咳嗽一下，以免打扰大家耳机里的声音。

艾米·特威德：没关系，慢慢来。我今早嗓子嘶哑得很。

布伦达·费拉罗：好的。那么，关于这点，主要是确保你使用的平台具备可追踪和监控的生命周期。我们平台拥有实时更新的问卷库，强烈建议你亲自体验并申请演示。 呃，这不是推销电话。我们更关注流程和策略的讨论。不过回答您的问题，我们确实能提供解决方案。财务报告正变得至关重要，因为您需要将网络威胁情报延伸至商业智能和金融智能领域。若企业财务状况不佳，这应引起您的关注——无论是进行并购评估，还是需要审查关联公司或子公司。 这能提供损益表信息、信用信息、负债信息，当确认财务稳健时，企业将进入更具韧性的状态。接下来进入3B环节。持续状态更新与报告既可通过托管服务完成，也可内部执行。 此前的实体报告已提及，但本次报告将深入挖掘情境评估关联性，提供风险评分概览，识别关键风险领域，并通过托管服务帮助您理解背景与工作流程。若您人手不足，可补充其他人员。情境风险报告将助您洞悉那些流畅且易受攻击的风险领域。 第四类风险清单及相关证据的识别——可供审查的项目清单将由托管服务团队进行全面梳理。 当我们讨论大型企业时，托管服务能协助完成此项工作。他们可筛选大型企业的信息，确保风险得到精准识别。我在此暂停回答问题。目前似乎有一个问题，随后我们将探讨另外两种类型。

艾米·特威德：是的。我注意到又有几个人陆续进来了。所以请随时提问。布伦很乐意回答。这个问题是——许多威胁监控工具对微软这类云服务公司会产生误报。你们如何从数据中筛选出有价值的信息？

布伦达·费拉罗：这真是个非常非常好的问题，因为七年前我刚开始研究威胁情报信息时，自己也曾陷入同样困惑——当时觉得这简直是噪音泛滥，根本不知该如何处理。因此威胁情报解决方案中存在特定机制，能帮助您设定关键指标的阈值，确保聚焦真正重要的信息。这是第一点。 其次，关于误报问题——当你与供应商共享威胁情报时，他们会立即指出哪些是误报、哪些是准确信息。正因如此，我建议从一开始就告知供应商你的威胁情报内容。 我曾多次提及：当年为公司运行威胁情报时，光是清理报告就耗费一两个月甚至更长时间。 无论你使用的是我们的供应商威胁监控，还是Recording Future、Bitsight、Security Scorecard或Risk Recon等工具，只要在其中一个系统中完成清理，所有系统都会同步更新——因为这些都是开源情报的聚合展示。 因此你在其中一个系统中看到的威胁情报，其他系统也会同步显示。若发现误报，请确保使用可反馈的系统——既能标记错误情报，也能记录"该威胁已于三五年前或十年前完成修复"。 随着数据不断清理，这过程就如同申请房屋贷款时的信用报告——您可能需要核实报告中某些信息的准确性，或清理欺诈活动记录。本质上是同类操作。艾米，下一个问题。

艾米·特威德：是的，好问题。谢谢。那么，对于获取未履行财务业绩数据披露义务的私营企业财务数据的选项技术，您有何见解？

布伦达·费拉罗：所以，不强制公开的最大问题在于，某些财务报告的信息——当然是基于公开数据的——你随时可以向他们索取。只要对方能提供，就别怕开口问。 嗯...我从未遇到过因主动索要而未获财务报告的情况。只要建立良好关系，说明需求缘由并强调这是必要要求，我认为对方通常会提供——毕竟我从未遭遇过被拒的情况。所以，若公开渠道无法获取所需信息，请直接提出请求。

艾米·特威德：不用了，我们没事。你继续吧。

布伦达·费拉罗：每当我看见你那张漂亮的脸蛋还挂在那儿，我就想：又一个。

艾米·特威德：我当时真的很有兴趣，只想留下来。

布伦达·费拉罗：好的。那么，风险补救报告应该提供所有已识别风险的摘要，并确保第三方或供应商能够轻松理解。 当向他们展示需要整改的事项时，报告应清晰明确。若对方要求查看所有风险（无论其重要性、风险等级、缓解状态），则需确保报告具备切换和筛选功能，以便全面展示。但务必明确指出需要他们重点处理的内容。 嗯，其实有过这样一次经历——虽然现在基本不会发生，但当时我曾向供应商发送风险报告，他们收到50多项风险后回复说： "布伦达，我们根本没法服务贵司账户，因为光处理这些风险就够呛。哪些风险是您真正希望我们优先解决的？请列出优先级。"正因如此，当风险被划分为可能性、影响程度、关键性及严重性等级时，务必让他们优先处理高风险项。 务必确保关键风险得到解决，因为这些风险应与您的关键控制措施相匹配，之后再处理其他风险。同时为各项任务设定合理期限——可能是1个月、3个月、6个月或9个月，各种时间线都可能存在。是的，艾米。

艾米·特威德：问题。好的。有没有简单的方法来确定一家公司是否存在任何重大索赔或判决？

布伦达·费拉罗：是的。在威胁情报、业务报告和财务报告中，都设有专门章节来协助处理判决相关事宜。您可查阅业务板块和财务板块——这两个板块都会明确标注是否存在判决记录。正因如此，我们强调不应仅依赖网络情报作为威胁情报来源，还需同步关注业务板块的内容。 现在回到这张幻灯片，控制验证报告正是我之前关于验证和现场访问执行所提及的内容。我们将讨论具体实施方法，但控制清单需经审查和证据支持。我们采用范围界定系统，确保提出建议，并将所有风险整合以实现风险标准化，该报告也应提供给供应商。 实际上，您不仅为供应商提供了安全成熟度预览，更明确指出了风险所在及整改方向。这将促进整个行业生态系统的健康发展。您以同理心构建合作关系，传达的是"我将协助您实现安全目标"的理念。 我不仅要测试你们并指出不足，更要提供解决方案来弥补这些断层和漏洞。"艾米，我们有什么进展？

艾米·特威德：好的。没错，我们有两份。那么，如果他们没有提交财务报告或不是上市公司，我应该要求提供什么财务报告？

布伦达·费拉罗：这个嘛，我得再跟您确认一下。 我记得自己从未明确提出过具体财务要求，但肯定存在某些规定。所以艾米，请你记录下来，如果对方非匿名且希望我们回电，我们可以提供财务条款清单，或者由财务部门直接解答相关问题。

艾米·特威德：听起来不错。是的，已经撤下了。还有一个问题。如果供应商愿意提供第三方审计报告，比如第二类、第二类或高可信度等报告，是否还需通过问卷进行深度核查？

布伦达·费拉罗：是的。我之所以这么说，是因为SOC 2类型二认证可以按具体业务模块分别获取。因此首先要确保所选模块符合实际需求。其次要确认该机构是否持有高可信度认证或其他资质——这些认证会因通过评估而获得加分项或金星标识。 但需注意，这些认证或评估体系中的某些板块可能存在信息缺口——例如当你开始询问勒索软件相关问题时，高可信度认证可能未涵盖该内容；或当你需要收集移动端软件开发信息时，现有框架可能存在盲区。因此务必将获取的信息与实际需求进行对照评估。 因此我建议采用混合模式：可设定20-25项核心控制项作为必答内容，同时确保供应商提供的信息能与您问卷中的反馈相互验证。这样既避免流程冗长，又无需供应商重复填写整份问卷。 不过我同意你说的需要做评估。供应商风险评估和会议是我在项目成熟后最喜欢的工作之一。我们实施了威胁等级识别协议，将其扩展到供应商层面，每月或每季度向他们提供信息，用绿色、黄色、红色或红色威胁等级来标识风险。 黄色警示则表示存在潜在威胁，需要你们提高警惕；红色警示则代表我们正在应对勒索软件攻击，需要你们立即响应。 我们不仅通过该系统共享事件信息，还开展了信息协作，这极具价值——既能及时告知供应商存在的安全动向，又能同步提供修复方案，实现了高度主动的风险管控。我们定期举办第三方风险管理认证培训会议，邀请内部核心利益相关方参与。 会议设有隐私专场、合规分组讨论，采购部门会介绍其项目，同时邀请所有关键及高风险第三方供应商与内部资源共同学习项目响应机制、建设路径及发展成熟度。这些环节总是充满趣味。 正如本页幻灯片所示，当前所有活动均以线上形式开展。我努力营造虚拟会议氛围，但仍怀念与各位面对面交流的时光。期待不久的将来能恢复线下互动，深化人际联结。在探讨实际预期前，我们先进行一项投票问卷。现在开始。

艾米·特威德：好的，现在开始。问题是：你们是否使用统一通用的秋季评估问卷？是、否、不确定。请花点时间回答。哦，不过这很有意思。目前情况有点混乱。我知道现在还早。 我正在和一些人交流，但情况很有意思。在我的战略研讨会上，大家采用的方法五花八门：有人用混合模式，有人用通用模板，还有人用自证测试——这可把我吓坏了。总之方法差异极大。

布伦达·费拉罗：采取某种方法总比毫无作为要好。

艾米·特威德：确实如此。完全正确。我再给各位五秒钟时间。互动性真强。大家的问题让我很满意，而且很多人正在参与投票。这真的很棒。谢谢各位。

布伦达·费拉罗：我的演讲乐趣。

艾米·特威德：好的。我结束投票了。结果如下：42%赞成，35%反对，14%不确定。

布伦达·费拉罗：好的，明白了。那么对于采用一刀切方案的情况，我想给出的建议是：如果只是简短问卷，或者贵公司所在行业无需设置大量控制性问题，我完全理解这种做法。 但我更建议你们拓展思路，不仅要了解控制措施的存在，更要主动评估这些措施的健康度和有效性。为此我特意设置了自适应赋能区域。 （此处可拍摄图片）这里列出了您需建立的核心控制标准，其目的在于确保这些标准与您的业务类型或供应商类别相匹配。只询问您真正需要了解的内容，切勿过度追问。毕竟谁都不喜欢被问及无关紧要的问题。 我确信他们也不喜欢被问无关问题。这既不利于建立良好关系，又浪费时间。请定义关键风险并建立基准，确保将其嵌入现有平台（如有），进而创建尽职调查分类模型——这样就能根据风险类型、尽职调查要求、客户画像及合作模式，精准应用自动化流程。 这就像一个连锁反应机制，确保各环节衔接顺畅，并每季度召开关键控制措施绩效报告会。这些措施需持续评估，因为它们会变化。去年我们发现重大变化，如今正进入软件管理链领域——若你当前投资组合中缺乏软件、移动设备及终端类开发评估，明天就必须补上，因为这正是我们遭受冲击的领域。 需及时汇报进展状态。为推动内部文化转型，务必让员工从项目启动之初就理解行动目标。例如：我将启动供应商评估计划，首批评估对象如下，后续实施路线图如下。

布伦达·费拉罗：对了，顺便说一下，我只打算和你们分享那些薄弱环节或反应迟钝的环节。这类情况我通常会直接反馈给部门主管或副总裁。 接着我会说："对了，我将生成一份综合报告，与全体成员共享，并开展一场良性竞争——比比谁的供应商安全措施更到位。"观察他们的反应很有意思。起初他们会惊呼："天哪，我收到不良报告了！别告诉我我的不良报告！" 我解释："这不是惩罚报告，是安全意识报告。"接着我会说："现在请根据这份报告采取行动，让我们彻底消除安全隐患。"当报告公开后，由于副总裁们大多私交甚笃，他们会开始讨论： "天哪，那人怎么比我强那么多？布伦达救救我，我该怎么办？"这个四个月的循环机制会自然推动变革，助你重塑企业文化。艾米，在进入数据收集环节前，似乎有问题需要先解决。

艾米·特威德：嗯。简单明了。80道题算多吗？

布伦达·费拉罗：1500个问题确实很多。所以80个问题不算多。我希望一个基准或试金石是尽量不要超过80个，但重点不该放在问题数量上，而应关注你通过上下文收集到的信息。 所以，如果问卷达到80题后你觉得还需增加，不妨审视现有80题：新增内容是否真有必要？能否用其他问题替代？或者调整表述方式，使其更侧重效果评估而非简单的二元选择题。这大概就是我的处理思路。 我通常以75项作为基准，但实际问卷数量可能达到145、125甚至350项，这完全取决于受访者的参与度及他们能为你提供的价值。若只是初步问卷用于把握核心控制措施带来的固有风险和残余风险，那么80项绝不算多。

布伦达·费拉罗：若您需要深入分析更复杂的业务合作场景，请不必顾虑细节。只需聚焦关键问题即可。这恰恰引出了我想谈的重点——评估方式本就不存在放之四海皆准的标准。 评估工具能提供信息，但在尽职调查环节，除非你是只做单一业务、仅有少数供应商的小型企业，否则我理解使用单一评估模式的合理性。但一旦涉及25家以上供应商，且合作类型各异时，就必须开始进行分类管理。 不过要让数据收集过程轻松有趣，复用可重复利用的数据，采用已完成的标准问卷。加入行业网络。响应时间取决于尽职调查要求——若要求供应商提供证据文件， 若要求回答超过80个问题，务必明确告知对方：收到材料后必须及时反馈。他们可能需要与他人协作分担答复责任。我衷心希望多数人能加入信息共享平台，通过授权机制实现数据再利用。 围绕此机制的安全防护同样至关重要。好的，接下来是联络点挑战环节。

艾米·特威德：好的，我来了。现在开始提问。各位是否掌握所有供应商的联络信息？这个问题来得正是时候，我正好也在思考同样的问题。请大家抽空参与投票。再次强调，这个问题在各行各业都普遍存在。这个困扰我许久的棘手问题终于要揭晓答案了，我非常期待听到更多见解。 好，倒计时五、四、三、二、一。最后几位正在作答。现在公布结果：52%有，40%没有，9%不确定。抱歉，我也嗓子发紧。

布伦达·费拉罗：好的。嗯，很好。

布伦达·费拉罗：因此，那些已经采取行动的企业，要么每年定期审查这些联络点，要么确保已制定相应的解决方案。值得称赞。对于仍在努力应对的企业，有几种方法可以解决这个问题。利用线程情报报告——通过这些报告能精准定位对接对象；或从应付账款、采购或供应商清单着手。 另一种方法是开展内部或外部调查，通过不超过12-15个问题的信息收集问卷，明确供应商身份、内部对接人、外部对接人、服务内容、 是否处理女主人发布、敏感数据处理、跨区域运营等高度敏感信息。因此不必畏惧联系供应商，直接询问合作内容及内部对接人。 若无法通过采购部门或采购专员获取内部名单，当收到采购名单后若发现信息失效，请立即反馈并告知对方：该联系人邮箱已失效， 请为我另寻联系人。或可利用某些平台的联系人查询功能——我们Prevalent平台就提供此功能，至少能获取当前任职者的姓名，并能将评估问卷转发至其邮箱。 这样就能更新具体对接人信息，通过查询功能神奇地精准锁定沟通对象。系统会提供若干候选人选或关键联系人——可能是首席信息安全官，也可能是采购部门人员。我们能为你提供这些信息，随后你便可利用此活动完善记录。

布伦达·费拉罗：所以，如果你不是TPRM团队中的主记录保管人，但采购部门掌握着这些信息，这并不意味着这些信息对你而言同样重要——尤其当事件发生时。这个联络点至关重要。因此，请将其视为风险。 若缺乏联络点，将对供应商及企业韧性构成风险，必须及时补救。这至关重要。若您想了解内部与外部活动能力，可联系[email protected]的艾米，我们将分享过往协助企业取得的成功案例。 下一轮投票问题。

艾米·特威德：好的，我来了。开始投票。我看到问题在这里。你是否觉得自己工作的主体部分就是追着供应商跑，逼他们回应？听起来很有趣呢。是。否。不确定。

布伦达·费拉罗：所以，我把这称为行政管理——比如我们是否已启动？是否收到反馈？对方是否回应？为何没有回应？如何促使他们给予答复？他们为何如此……诸如此类的问题。 我之前分享过一些技巧，关于如何在初期建立关系，让邮件提醒功能通过自动化处理提升工作效率——当然前提是使用像我们这样的平台。不过这个话题就到此为止吧。

艾米·特威德：嗯，还有三秒左右。最后一个回复。好的。公布结果：38%赞成，53%反对，9%不确定。考虑到我们已经承受的疲劳，这至少能少一件事。

布伦达·费拉罗：嗯，这可能意味着那53%的人正在使用自动化平台，或者他们已经摸索出如何将程序从数据收集阶段迁移到风险修复阶段。 因此，希望他们的风险整改流程能像信息收集那样连贯。我的建议是：若您已疲于应付且不愿继续亲力亲为，可考虑聘请风险评估服务，或在平台内实现自动化实施。 从信息收集、分析、风险报告（正如我们之前讨论的），到如今通过虚拟方式进行的现场验证，再到后续整改追踪——这些环节均可实现自动化。无论是采用风险运营指挥中心模式还是托管服务模式（我们公司及其他机构均提供此类服务）， 此外，这些服务也可作为人员补充方案。即便您正处于项目初期阶段，需要快速推进大量工作，也可先借助外部力量，待项目成熟后再移交内部团队，从而避免陷入行政事务而无法专注核心需求。以上内容供您后续深入探讨。 但人员补充和托管服务确实能提供帮助，它们能协助配置平台实现自动化运行。好的，接下来进入投票环节。

艾米·特威德：好的，现在开始提问。请问贵公司的第三方风险管理计划是否将供应商威胁情报用于风险评分之外的其他用途？与之前相同，请选择：是、否、不确定。 请稍作回答。再次感谢各位提问，欢迎继续提问。提醒一下，本次会议正在录制，若您需暂时离开，我们将于明日第一时间将录像发送至您的邮箱，方便您随时观看。好的，我们再给几秒钟时间。时间过得真快，我能感受到。

布伦达·费拉罗：我知道只剩九分钟或五分钟了，所以剩下的部分我们要加快进度。

艾米·特威德：好的，我将在三秒内结束投票。现在停止投票。分享结果。好的。46%反对，44%不确定，30%。好的。

布伦达·费拉罗：好的。关于供应商安全信息，我们之前讨论过。请确保采用网络安全措施并尽早实施。若能在供应商选定前将这些要求提交给采购部门，由其与供应商共享，将大有裨益——这样就能预先了解深度评估环节将面临的繁重工作量。 网络安全对所有数据处理方当然至关重要，但对于从事其他业务类型且需要财务信息的T类公司——我们已讨论过这点——请确保采用三大威胁情报组件并实现标准化。 我们需要实现风险标准化，避免重复计算风险，防止风险被夸大或缩小。以上就是我需要强调的要点。我曾坚决反对在初期使用威胁情报。 后来我终于领悟到其在优先级排序中的巨大价值——它能帮助企业明确自身安全态势，在供应商合作前就提供改进方向，更可作为社区支持系统，结合问卷/报告/认证反馈建立可信度基准。 好的，关键要点虽然我们快速推进了结尾部分，但在回顾之前，先说说你最喜欢哪部分内容。

艾米·特威德：没错。这次的投票问题可以选择多个答案。我们讨论过的每个主题都在这里。请告诉我们您觉得最有价值的内容、最喜欢的环节。如果不喜欢任何内容，这个选项也存在——我们想了解您的真实想法。我们希望这些内容对您更有教育意义，所以请告诉我们最有效的方式。

布伦达·费拉罗：我喜欢那个。我不喜欢这些。这会让我不得不去考虑是否需要另找工作。我们要向你们的管理层报告此事。这完全不行。

艾米·特威德：我想了解更多关于原因的信息，但是……

布伦达·费拉罗：但这一切都是匿名的。这不像

艾米·特威德：好的。我们现在不会来找你们麻烦的，别担心。 我们只是真的……好的，几秒钟后就结束。接下来还有个投票。嗯，我想最后会有问答环节。所以，如果你有即将开展的第三方风险管理项目，或者正在推进相关工作，我们很想了解。我现在就结束这个投票。谢谢大家。好的。 我会不会淤青？A 我有4%淤青。没关系，总有进步空间。嗯，太好了。这将帮助我今后在演讲中更精准把握大家最关心的议题。很高兴您从中获得了价值。要弹出下个问题吗？

艾米·特威德：是的，我们可能也有个问题要问。我先把这个问题提出来，同时去确认一下。正如我提到的，您是否计划在2021年建立或扩充第三方风险管理项目？若有此需求，请告知我们。我们非常乐意提供帮助。 我和同事阿曼达·菲娜可以主动联系您，与您深入探讨，并为您对接产品专家（如果可行的话）。请随时告知我们。我这就去查看问题。哦，顺便说声感谢——我们必须向您致谢。

布伦达·费拉罗：这只是权宜之计。今天需要重点记住的是：沟通、建立关系、对供应商保持同理心，运用适应性赋能来改变企业文化，促使供应商积极响应。建立联络点至关重要，请务必使用供应商联系查询功能。前往采购部门，通过采购代理确认付款对象，然后启动推广活动。 若无其他途径，此法最为有效。托管服务可助您启动或优化项目，摆脱追踪催缴、行政疲劳及平台困扰。尽可能用平台替代电子表格 。供应商风险情报不仅用于验证，更应贯穿整个项目。 它能帮助您在多个领域进行优先级排序。最后，若想全面了解我们的服务，这张图就是答案。我们汇集全方位情报，Prevalent始终为您提供支持。我们因诸多原因而存在，但今天重点探讨了如何完成风险评估、促使供应商响应，以及当供应商以特定方式回应时，我们能协助您采取的混合策略。 作为值得信赖的合作伙伴，我们在魔力象限中位列领导者。我们非常乐意为您提供支持。现在请允许我展示联系方式：访问[email protected]联系Amy。若您还有最后一个问题，我们将在结束前为您解答。

艾米·特威德：除非那只是句感谢。嗯，就是这样。所以，呃...没有其他问题了，不过我们已经超时一分钟了。感谢各位参与。再次提醒，本次会议已录制，后续会发送给大家。欢迎随时联系我或阿曼达。我们随时为您提供帮助。

布伦达·费拉罗：感谢您抽出时间与我们相聚。祝您今天愉快。

艾米·特威德：谢谢你，布伦达。祝你愉快。谢谢大家。再见。再见。再见。