在 TPRM 中使用哪些全球合规要求以及如何使用

艾米：好的，我们开始直播了。 欢迎各位。趁大家陆续进入今天的网络研讨会，我先抛出个快速投票问题。若您参加过我们往期研讨会，通常会有两个投票环节。第一个问题是：在等待期间，是什么促使您参加今天的研讨会？或许纯粹出于学习目的；或许您即将开展第三方风险管理项目，有疑问想听听专家见解。 或许您对自身现状尚不明确。但若想深入了解全球合规要求，请务必留步；亦或是您已是Prevalent的客户——感谢您的参与。请花片刻时间作答，随后我将说明几项注意事项并介绍今日的主讲人。 今天的主讲人布莱恩·利特尔费尔将带领大家探讨"第三方风险管理应遵循哪些全球合规要求及实施方法"。布莱恩现任剑桥网络顾问公司首席执行官，曾任沃达丰集团和英杰华集团全球首席信息安全官。感谢您的参与，布莱恩，希望您今天过得愉快。

艾米：接下来这位可爱的先生是斯科特·朗，他是Prevalent公司的产品营销副总裁。在演示的后半段，大家会听到更多他的分享。请各位注意，我们希望本次会议保持互动性。 目前各位的麦克风处于静音状态，摄像头也已关闭。但请随时通过网络研讨会底部的问答功能或聊天功能提出问题。请注意，我们将在最后安排问答环节。若有疑问，请随时发送给我，我会确保将问题转达给在座的这位绅士。 本次会议全程录制，若您需中途离场，录播视频将于明日早晨第一时间发送至您的邮箱。好的，我认为已说明所有事项，现在将主持权交给布莱恩。祝您今天愉快，斯科特您也是。感谢各位的参与。

布莱恩·利特尔费尔：太好了。谢谢你，艾米。大家好，很高兴能再次与各位交流。希望部分朋友参加过我之前举办的系列网络研讨会。 我认为本次研讨会特别有意义，因为全球合规要求只会日益严苛。我们必须学会适应这种趋势——众所周知，供应链管理本就复杂，当合规与监管要求叠加其上时，挑战将呈几何级增长。因此今天我们将尝试剖析其中部分内容，结合我的实践经验，探讨我曾面临的挑战，以及在为客户咨询过程中观察到的若干问题。关于我的介绍环节已完成，非常感谢。现在让我们直接进入正题。正如我所言，合规要求只会朝着一个方向发展。 近年来全球合规要求急剧攀升。我既为大型跨国企业提供咨询，也服务于中小型公司。但若贵司是运营于全球多个司法管辖区的跨国巨头，就必须遵守大量合规与监管要求——且这些要求只会日益严苛，绝无松动可能。 几年前，安全团队在进行供应链合规核查时，主要通过勾选政策清单、收集证据数据来验证企业是否履行政策承诺，同时进行基础背景调查（如企业所有权等）。 如今我们必须建立高度复杂的流程，且需接近实时运行。必须告别电子表格和Excel的时代——虽然Excel在商业领域仍有价值，但在我看来，它绝不该用于第三方保障工作。我们必须深入数据核心。

布莱恩·利特尔费尔：我们必须能够以电子表格无法实现的方式进行操作。我认为对许多企业而言，供应商足迹庞大且持续扩张——其供应商网络可能包含1000、2000甚至4000至5000家供应商。 这种规模的供应商网络在进行多维度分析时极具挑战性——既要将其划分为传统层级体系，又要精准定位资源投入重点。毕竟企业可用的资源预算终究有限，既要实现众人追逐的"万能解药"，又要全面掌握供应链为母公司带来的风险图景。但现实中我仍频繁见到电子表格的身影。 这种现象相当普遍。当我们进行咨询时，谈及第三方管理等议题，那令人头疼的微软Excel表格就会出现——数千行数据、数百列信息，用来承载从年度问卷中收集的信息。我认为这正是监管与合规要求激增的部分原因——法规要求我们提升组织安全性，因此才出台这些强制措施。他们规定必须按特定方式操作，旨在推动改进与优化。因此我们需要内部能力升级。 我们必须接受必须走在曲线前沿的事实。我认为我们都需要全面理解供应链，但这种理解应体现在日常工作中，而非仅限于年度问卷。目前通过与客户及咨询对象的交流，我观察到过去十年间最根本的变化在于监管机构之间的最佳实践与知识共享。 过去他们各自为政。记得我执掌跨国企业时，监管机构之间根本不交流。当时缺乏促进政府间沟通的机制，导致监管者无法就各自市场监管方式进行对话与协作。

布莱恩·利特尔费尔：但现在我们看到的是，他们正在共享信息。他们正在全球范围内开展协作。那些更成熟的企业正派遣团队前往相关国家，为正在发展该领域业务的国家提供咨询建议，并分享最佳实践经验。比如说："这是我们在实践中总结的经验，建议你们采用这样的方法，需要关注这些要点。" 这是我们的测试结果。所有这些信息都在共享。我认为这必然是好事。当前企业正面临新一轮监管浪潮，却尚未真正理解自身数据的全貌。特别强调"全貌"二字，因为我接触企业时常听到这样的说法："我们拥有所有结构化数据"。 但同时存在着所谓非结构化数据的领域——没人敢触碰它，因为过于复杂。他们无法理解这些数据，无法对其进行分类，甚至不清楚这些数据的本质，更不知该保留还是舍弃。这正是核心挑战所在。 法规要求我们全面理解所有数据集，不仅限于自动化工具能分类的内容，还必须真正掌握所有持有的数据。 这样才能判断是否符合法规要求。我认为第三方安全审查已被多数组织视为关键流程，但坦白说并非所有企业都如此。我们看到一些非常成熟的组织投入了正确的流程、工具和资源来有效运行该流程，但也目睹某些大型企业试图仅凭 仅配备两三名全职员工，依靠微软Excel表格来运作。这种模式永远无法让您真正掌握供应链中的风险状况。这种人力与工具严重不足的现象，我希望随着时间推移能逐渐消失。

布莱恩·利特尔费尔：我们确实开始看到，在我所在的公司内部，人们正积极拥抱这个领域涌现的新技术和新能力。这确实是个积极信号。我认为这张幻灯片突显了我们正在见证的融合趋势。当初我刚进入安全领域时，监管机构或合规框架之间几乎找不到任何共通点。 纵观全球各地，规则各异且执行方式迥然不同——实际上我认为这种差异性是刻意为之。比如某国要求部件必须是红色的，另一国却要求绿色。这使得运营者难以抉择：合规计划与第三方保证计划究竟该归属安全职能部门还是法律部门？ 虽然职能划分本身影响不大，但真正棘手的是：当企业需要遵守多国法规时，如何在如此复杂的监管环境中运营全球业务？这曾给组织内部带来诸多挑战。如今推动合规趋同的主要驱动力，是跨国企业的全球化扩张，以及特定国家地区外包与内包业务的蓬勃发展——这些因素正加速形成相似的监管框架。

布莱恩·利特尔费尔：以及全球范围内的合规框架。我这里只列举了其中几个。考虑到今天听众主要是美国观众，比如加州消费者隐私法案（CCPA），而在欧洲则有《通用数据保护条例》（GDPR）。这些法规本质上都在追求相同的目标，这很好。公民希望了解自己的数据被用于何处。 我认为这完全合情合理。而监管机构介入并开始强制执行这些规则的部分原因，坦率地说，在于企业根本未给民众提供选择权。过去要了解企业掌握了你哪些数据相当困难，流程冗长繁琐。而民众渴望拥有这种选择权。

布莱恩·利特尔费尔：我们正看到越来越多这样的情况。 所以，你知道，法规出台后，适用于不同领域和不同地区。它们都有各自的细微差别，但存在显著的重叠部分，这使得权力重新回到公民和个人手中，使他们能够开始选择谁可以访问他们的数据、数据如何被处理或管理，并且他们有权选择退出或加入某些营销活动及其他可能希望或不希望接收的倡议。 在我为大型企业管理安全事务的过程中，深刻体会到全球隐私观念存在显著的文化差异。虽不便具体点名，但某些国家对隐私保护极为重视，另一些则相对宽松。这无疑构成我们必须攻克的地域性挑战——必须攻克的关键难题。监管机构当前的核心关注点无疑是数据领域，且采取了行业分化的监管策略——在我看来，英国和欧洲首先将金融服务行业置于严苛监管之下，随后监管触角正向关键国家基础设施领域延伸，重点覆盖电信、 医药、电力、公用事业等领域，迫使各行业提升安全标准。这种趋势将首先聚焦大型企业，随后逐步渗透至中小型机构。因此若您任职于小型机构，切勿因年收入未达2500万美元等因素而认为监管与己无关——它终将波及到您。

布莱恩·利特尔费尔：我对此非常有信心，但问题在于他们必须先解决大问题，然后自然会要求所有人提升到同等水平。不过全球确实都在聚焦提升数据安全，我认为——稍后我会展示一张幻灯片，说明各国在数据治理方面的成熟度。许多国家（抱歉，是许多组织）起步阶段都处于较低水平——毕竟隐私保护曾非要事，数据安全自然不被重视。但随着千禧一代、X世代、Y世代、Z世代等数据消费主力军的崛起，这种状况正在改变。 他们习惯于消费数据并进行交互，因此对数据处理更为精明——比如明确表示"我不允许X公司或Y公司这样处理我的数据"，并要求掌控数据权限。正是这种意识推动了我们所见到的变革。 从企业角度看，引入GDPR或CCPA等合规制度无疑带来了根本性转变。这绝非易事，更非勾选清单式的简单操作——不能仅靠机械执行就能解决。 企业必须全面审视组织架构，真正理解如何实现合规？面临哪些挑战？现有合规状况如何？存在哪些缺口？其中部分缺口——尤其在GDPR方面——需要长期努力才能弥补。这意味着企业运营模式正经历根本性变革。

布莱恩·利特尔费尔：从GDPR的角度来看，当人们声称合规时，实际上并未真正达标。这更像是一段持续推进的旅程——他们正朝着合规目标逐步推进并落实各项措施。而从美国视角审视GDPR时，我们常会发现：当我访问美国网站时，页面会弹出横幅声明"我们注意到您正试图从欧洲访问本网站，因此不提供网站内容"。显然在美国也存在类似情况，虽然我不确定您是否知晓——但这种现象确实存在。试图从欧洲访问本网站，我们不愿遵守GDPR，因此将屏蔽您的访问权限。"显然在美国，我不确定您是否知晓这种现象，但它确实存在。他们宁可放弃这些访客，也不愿经历GDPR合规的繁琐流程。当然并非所有美国机构都如此，但这种情况确实发生。 您知道，弹出式横幅广告频繁出现。因此我认为，当前正在显现的核心趋势是全球数据标准的形成。 公民有权掌控企业持有的个人数据，有权决定数据用途。这种趋势只会日益普及。目前全球合规要求正逐步形成，当某个地区国家开始与特定国家公民开展贸易时，显然就就必须遵守该国监管要求。回溯美国网站的案例，他们不愿遵守《欧盟通用数据保护条例》（GDPR），因此直接屏蔽该地区访问者。 对网站而言这或许可行，但对于希望销售产品、提供服务并与当地公民互动的大型跨国企业，其立场必须截然不同。他们必须严格遵守法律条文，确保所有数据处理流程符合相关法规。不过，我对此观点表示充分理解。

布莱恩·利特尔费尔：这种观点可能并非所有与会者都认同，但我认为监管是件好事，稍后我们会更详细地探讨。在我看来，监管机构要么是在响应民众诉求，要么是在应对事件或违规行为。 他们目睹问题发生，对进展不满，于是介入监管。他们会说："你们必须立即执行。若想继续运营，若想维持业务，就必须按我们的要求行事。"正如我之前所言，监管不会消失。 因此我们需要为组织及内部团队配备能力与工具，使其能有效管理业务中的风险暴露——这本身就能满足监管要求。我常看到人们仅满足于字面意义上的合规，但在我看来（尤其在我管理的团队中），这只是最低标准。这只是我们追求的最低标准。显然我们更希望为客户做正确的事，因此要在此基础上深化建设，真正展现我们不仅满足最低合规要求，更在严格遵守法规。从这张图中，我们能看到全球不同国家/地区在合规成熟度上的差异。 红色区域代表监管力度较强的地区，包括整个欧洲、北美、加拿大、中国及澳大拉西亚地区。这些地区都建立了非常严格而完善的流程来保护公民数据。 这种局面并非一蹴而就。在《加州消费者隐私法案》(CCPA)和《通用数据保护条例》(GDPR)出台前，整个欧洲的法规覆盖率曾呈现截然不同的色彩分布。但随着全欧统一立法的实施，所有企业都必须在数年过渡期内完善组织架构，确保流程、技术、报告机制及治理体系全面到位。因此我认为，随着法规持续推进，更多地区将逐渐呈现红色覆盖。

布莱恩·利特尔费尔：从隐私保护和成熟度角度来看，每个人的起点都不尽相同。我提供咨询服务的国家及合作企业——即便在非洲地区，目前虽无具体规划，但从南非起步的项目正逐步推动整个非洲区域的成熟发展。我认为罚款显然是促使推动企业合规的关键驱动力，但如今董事会层面的认知正日益成熟——人们逐渐意识到这并非苛求，而是确保企业对数据实施有效治理：明确数据本质，厘清共享对象。从逻辑层面看，这完全合乎情理。 关于《通用数据保护条例》（GDPR），监管机构可处以高达2000万欧元（约合2050万美元）的罚款，或该组织上一财年全球营业额的4%——无论以哪种标准衡量都相当严厉，足以产生实质性影响。 GDPR早于CCPA出台，自2018年5月生效以来，欧洲地区已开出约800笔罚单（如图中红色区域所示）。尽管英国从脱欧角度已实质脱离欧盟，但仍受GDPR法规约束。 观察已开出的巨额罚单，迄今最高罚款对象是亚马逊。由于其年收入远超2000万欧元，最终被处以7.46亿欧元罚款。处罚缘由在于其让欧洲用户难以在访问网站时拒绝Cookie，缺乏应有的透明度，操作过程存在明显障碍。

布莱恩·利特尔费尔：你知道当你在Cookie网站点击拒绝后，系统会弹出大量复杂的页面让你逐一确认，这完全是因为亚马逊致力于收集尽可能多的客户数据。如果所有人都选择拒绝Cookie，他们就更难满足合规要求。 所以他们被罚了款，但我认为其他国家也会跟进——正如我所说，更多罚单即将开出。各国正处于各自的成熟发展阶段，而这张地图很快就会被填满。正如开场白所言，我有幸为不同规模的机构提供咨询建议，第三方合规认证已成为 已成为议程上的核心议题。这常是董事会讨论的关键事项，也是安全与法律团队的核心关切。这绝非偶然——它是最难量化与管控的风险之一，其难度取决于团队的流程、工具及能力储备。 但若将这些挑战与安全公告关联起来——我阅读了所有安全机构发布的公告，无论是英国的政府通信总部还是美国的国家安全局，都呈现出共同主题。因为我们全球都在对抗共同的敌人，他们使用相似的工具、能力及手段。 因此这些情报通报中自然存在共通信息——我试图在本页幻灯片中提炼这些内容。本次演讲若不提及令人畏惧的"COVID"一词便不完整。我认为疫情不仅通过居家办公等形式改变了企业运作模式，更引发了前所未有的安全攻击浪潮，这正是情报通报中突显的核心主题。

布莱恩·利特尔费尔：嗯，攻击强度、攻击手段的复杂程度都呈指数级上升。企业发现自己的基础设施遭到扫描、探测，而居家办公的员工则频频遭遇钓鱼、短信诈骗或视觉欺诈——无论你如何称呼这些手段。攻击者简直如鱼得水，只因企业政策因全面转为远程办公而彻底失效。 新技术被迅速引入，员工们收到大量令人困惑却真实的指令：必须使用新软件、 请修改流程等等。这对攻击者而言简直是狂欢盛宴——他们能借机渗透自己的指令，诱导员工执行操作。尤其在远程办公初期，员工对这类操纵性信息更易上当，网络上也因此充斥着大量钓鱼邮件。 但归根结底，攻击者的目标始终是数据——他们要么变现数据，要么索要赎金或罚金以换取数据归还。 如今加密勒索病毒在企业中传播时，惯用手法是先窃取数据再加密——因为攻击者发现，当企业数据被实际扣押而非单纯加密时，其支付赎金的意愿会显著增强。同时他们还利用数据泄露的威胁施压。我观察到并从行业刊物中获悉的趋势是：母公司遭供应链攻击的案例不仅不会减少，反而会持续增加。在行业刊物等渠道观察到的趋势是：母公司通过供应链遭受攻击的现象不仅会持续存在，还将日益加剧。这种认知在我看来完全合理——既然目标企业同样持有客户数据，何必费力攻破母公司？那些规模较小、安全工具和能力不足的企业，往往更容易成为攻击者下手的对象。

布莱恩·利特尔费尔：在我看来，这个逻辑是成立的。 要知道，若想入侵某个组织——无论是通过人员还是技术手段绕过安全防护——何必去攻击那头每年耗费上亿美元安保预算的巨无霸？完全可以瞄准那些投入较少、安保团队规模有限、监控治理体系可能存在漏洞的小型机构，而这些机构恰恰掌握着大公司的数据。 因此，我们正目睹供应链内部的攻击手段——通过入侵供应商获取母公司数据。我认为这种趋势未来将呈指数级增长。这正是我们安全从业者、法律从业者及所有与会者需要深入洞察的：延伸供应链中的风险与威胁必须近乎实时地动态更新。 正如我所说，初入安全领域时，我们还依赖Excel表格、年度调查问卷，像Prevalent这样的工具根本不存在——这暴露了我的年龄。 虽然我才44岁，但行业在这段时间内已呈指数级发展。我们需要对数据进行多维度分析，而电子表格根本无法满足这种需求。我们需要尽可能丰富的信息，需要看到供应链的风险评分，需要了解技术政策违规详情。 评估时他们是否承诺24小时内修复对外关键漏洞？但我们有工具能发现：某漏洞暴露4天仍未修复。这类情报能揭示企业是否践行政策承诺，或需对其加强监控。 他们是否具备检测漏洞并实施缓解措施的正确能力？我们需要所有开源情报持续流入，并要求这些情报经过分析后，以可操作的形式反馈给我们的分析师。

布莱恩·利特尔费尔：显然他们没有时间亲自收集所有这些信息并进行分析。这在某些方面需要像袜子或接缝那样无缝衔接——分析工作由平台和工具完成，它们会直接提供可操作的信息清单。而第三方分析师和微软Excel表格是做不到这一点的。 我认为这点已相当明确。而我所见太多组织仍在沿用所谓传统流程，未能采纳我方才提及的技术、流程与能力进步——这些工具本可直接应用。我目睹的是大型组织中备受压力的第三方保障团队， 他们被庞大的组织规模所困扰，试图在不借助现有工具的情况下获取信息。但正如我刚才阐述的，存在另一种方式，另一种方法。我强烈建议企业探索像Prevalent这样的工具，它们能真正提供支持—— 这些工具并非增加数据负担，反而能精简数据规模。它们帮助团队聚焦关键监测点，近乎实时地定位问题源头，进而实施缓解或规避措施——这并非仅限于网络安全事件。 在英国，我们目睹了大量非网络相关的供应链问题。这些问题源于各种因素——无论是脱欧影响还是疫情冲击等。但有时走进超市，你会发现货架空空如也。企业正深陷供应链困境。 最近燃油供应就面临严峻挑战，加油站前排起数小时长队。这些都是需要风险评估的供应链难题——企业能否在实际受影响前进行风险缓解和情景模拟？欧洲另一重大事件是运河堵塞导致船舶无法通行。

布莱恩·利特尔费尔：集装箱船无法抵达目的地。船上载有易腐食品及其他货物。因此，我们需要思考如何管理供应链风险。风险管理并非仅限于网络安全领域。通过建模分析各类情境与问题，我们才能真正理解哪些因素会对组织产生实质性影响——毕竟本次会议中有多位来自不同行业领域的参与者。 哪些因素可能影响我们向客户交付产品与服务？当无法从XYZ供应商处获取产品时，如何判断供应链是否存在风险？我们的A方案、B方案、C方案是什么？如何进行风险缓解？我认为这才是构建风险图景的真正起点。现在让我们审视一些 我认为这些基础要素构成了高效第三方管理计划的基石，使其能在当下极其复杂的监管合规环境中有效运作。首要之务是掌握数据全貌。任何合规或监管框架都要求企业全面理解自身数据集，必须能根据多维度场景对数据进行分类、切片和分析。 这些数据是否存储在欧洲？是否受GDPR管辖？是否涉及加州居民？是否受CCPA约束？用户是否设置了数据权限门槛导致无法使用？是否选择加入？是否选择退出？若无法全面掌握数据特性，合规工作将难以有效推进，审计必将失败，甚至可能面临重大整改要求。 我认为不能只做简单部分。我们之前讨论过，但经常看到人们声称理解数据——数据已完全分类，生命周期管理等都做得很好，但这仅限于已分类数据。要知道，某些场景下存在数拍字节的未分类数据孤岛。

布莱恩·利特尔费尔：我认为法规之所以存在，是因为这种情况确实发生。组织必须真正掌握数据管理——如果数据未分类且他们对此知之甚少，就意味着没有进行全生命周期管理。他们未能在应有的时间点及时清除数据。 他们往往过度保留数据——某些情况下远超必要期限。若客户已流失却仍长期保留数据，从GDPR角度看可能面临同等严厉的罚款。因此必须深入分析未分类数据集以发现问题，同时需厘清全球供应商关系。 全球层面的考量尤为关键——我屡见不鲜地发现，企业往往低估供应商的全球业务影响。例如某印度供应商可能规模微小，却可能是美国市场的最大供应商。这种差异显然影响着企业需给予的关注度和分级管理力度。因此必须从供应商视角反向审视母公司：该供应商对我们有多重要？ 供应商在不同地域的业务布局如何？显然，这不仅关乎成本控制，更涉及风险管理——我们需明确如何有效管控该供应商带来的企业风险。而真正的挑战在于：当合规法规出台前，母公司与供应链签订的既有合同，很可能无法适应未来需求。 最终必须重新谈判合同条款，纳入新规要求。 合同中需增设特定角色、要求及条款：数据所有者是谁？数据处理者是谁？基于各自角色应承担哪些义务？从合同角度看，若责任未履行将面临哪些惩罚性罚款？此外还有诸多要素需要纳入合同考量。

布莱恩·利特尔费尔：我明白这很困难，但每当贵组织新增合规要求时，这些合同就必须重新审视。但要有效完成这一切，您需要明确自身在法规与合规框架中的实际风险敞口，并厘清其归属——无论属于法律职能、风险职能、合规职能还是安全职能都无妨，关键在于理解业务的实际运营领域。 我们涉足哪些行业领域？因此我的业务范围究竟涵盖哪些？我们需要从业务部门获取指导。这不应成为安全部门的孤岛式运作，也不应是横跨整个企业的流程。如果公司内部存在这些职能部门，就应该与法律、风险合规、安全、IT、财务部门展开对话。这是业务层面的问题，而非安全或IT领域的挑战。 核心在于企业如何满足这些合规要求？因此我们必须打破安全孤岛——某些组织将第三方风险视为安全流程，实则不然。 这是业务流程。我注意到许多大型企业至今未任命数据保护官（DPO），这种现象在美国尤为普遍——毕竟相关法规并未强制要求（欢迎评论区指正）。加州《消费者隐私法案》（CCPA）并未强制要求设立DPO，而GDPR则有此规定。数据保护官这一角色至关重要——他们是企业内部数据的守护者与决策者，掌握数据流向、处理方式、使用权限及销售决策等核心权限。必须有人全职负责理解企业内部数据的运作机制。 我们常说数据是企业的生命线，因此必须专人负责保护数据安全，确保数据被正确使用。但这很快会变得复杂——当企业在全球60、70甚至80个国家运营时，合规风险就会急剧扩大。

布莱恩·利特尔费尔：那么，你是如何管理这些的？我曾在拥有这种规模的组织工作过，你知道，在实际操作层面这相当具有挑战性。但我始终坚持简化流程的原则——措施必须有效，但同样必须保持简洁。我常说，复杂性是安全的敌人。 若某项措施过于复杂，其安全性必然难以保障。我推动安全组织构建的架构是：制定安全政策、安全指南和安全标准，并将这些转化为控制环境。我们力求在全球范围内最大限度地标准化这个控制环境。因为控制措施需要接受审计，所以不能运行不同的控制方案。 若各国采用不同控制环境，又需配备当地审计人员，当业务扩展至60、70甚至80个国家时，复杂度将呈几何级增长。因此理想状态下，控制环境应满足全球合规要求——无论在新加坡、中国、美国、英国、法国、德国等地区运营， 乃至其他地域内外，该控制环境都应满足当地立法环境、法规及管控要求。请允许我通过幻灯片具体说明：我曾加入过多家企业，这些企业存在众多相互冲突的安全政策与标准，进而衍生出多种控制框架，这种状况显然不理想。 当推行全球性举措时——以我过往经历为例，即便像视频会议或即时通讯这类基础应用——你很快就会遭遇安全政策限制，或因X国规定而无法采用XYZ方式实施。

布莱恩·利特尔费尔：因此在各国政策各异的环境中无法开展业务——至少我观察到最成熟的企业都采用统一的全球政策。允许调整的仅有两项：语言版本（可翻译为当地语言）以及特定国家因立法或要求存在绝对独特性、不适合全球统一的条款（可纳入该国政策）。 但这类例外仅限一两项。其余条款均需全球统一。在我看来，当前主流做法是：在可行的情况下推行标准化，且不会产生显著运营负担时，就采用单一全球流程。例如——我脑海中浮现的典型场景是：当通知监管机构数据泄露的时限要求，在商业逻辑允许且不产生重大成本影响的前提下，我们就会将其纳入全球统一流程。在符合商业逻辑且不产生显著成本影响的前提下，我们倾向于统一全球流程。例如：不同国家对违规事件的监管通报时限差异极大——新加坡要求24小时内通报，其他国家则为48小时等。 那么，如何运营全球业务？ 要知道，必须确保符合全球监管要求——因为新加坡居民的数据可能存储在其他国家，而数据泄露可能发生在该国。因此必须满足当地法规。若将所有控制环境提升至最严格标准并推广至全球业务，你只需做一件事：

布莱恩·利特尔费尔：你们正在将安全标准提升至最严格的要求，我认为这在内部推广非常容易，因为这是对客户负责任的做法。观察大型组织的架构，我认为必须这样做——大多数大型机构都建立了共享服务中心。这是为客户着想的正确之举。观察大型机构的架构模式，这种模式已成必然趋势——多数企业都在高技能、低劳动力成本地区设立共享服务中心（或称附属机构），负责关键业务流程、财务数据中心运营、安全保障等核心职能。但本质上，这些机构处理的是全球客户数据或操作系统。 因此必须确保这些设施符合当地居民的要求。你必须将所有标准提升至最严格的水平，以此方式运营全球业务。 我认为成熟企业正是通过这种方式简化运营，大幅降低全球合规项目的复杂性。回顾我观察到的三类常见误区——我们稍早已略有提及—— 必须超越最低标准。我接触的首席信息安全官、首席采购官等人士都将法规视为最低门槛——这是基准线，是最低要求，而企业应持续追求超越。因为在我看来，只要对客户有益，就值得付出更多。 试想当客户在场见证决策时，若你宣称仅维持最低标准而不愿提升，他们会满意吗？抑或更乐于听到："我们视法规为基准线，但将持续投入资源，确保安全水平不断超越该基准"？ 我认为客户更倾向于后者。关键在于监管范围延伸至数据流向——这正是我们强调需重新审视合同条款的核心原因。

布莱恩·利特尔费尔：至关重要的是要弄清楚，你签约的承包商是否将工作转包给了第三方？也就是说，是否存在第四方或第五方参与？因此，这些方的安全能力如何？他们是否具备令人满意的管控措施？作为母公司，你是否已完整设立数据所有者和数据处理者机制？从财务角度看，合同条款是否涵盖相关保障？ 我们必须追踪数据流向，这如同追溯河流——必须厘清所有支流的汇入点、主流的流向等。必须将这些可视化并纳入供应链保障体系，确保治理机制与流程的有效性。 显然，在我们今天讨论的工具出现之前，工作过于依赖人工操作——斯科特稍后会谈及普瑞文特的情况——在这些工具问世前，人工审计是主流方式。当时只需告知运营团队"今天有ISO审计，明天有2701审计，下周还有PCI审计，内部审计组要来检查控制框架，接着又是PCI SS和GDPR等"，就能让整个团队陷入瘫痪。下周还有PCI审计，内部审计组要来审查控制框架，接着又是PCI SS和GDPR等等。审计项目只会持续增加。运营一家拥有六七层架构、四个数据中心的大型跨国企业时，运营团队要应对如此密集的审计压力实属不易。 相比之下，点击按钮就能清晰掌握供应商的治理现状、保险覆盖范围及已知信息，操作便捷得多。若需深入挖掘也完全可行——这些工具能自动提供大量原本需要手动搜集的信息。

布莱恩·利特尔费尔：因此将这些信息与内部治理、风险和合规（GRC）平台结合起来，就会产生极其强大的作用。我认为监管环境其实是喜忧参半的——有人认为现有监管和合规要求不足，也有人觉得"过度监管导致企业窒息"，"千刀万剐式监管"等说法。确实可能过于苛刻，但我的观点是：必须思考特定法规诞生的初衷。我目睹过多家组织的安全团队为争取预算、获取必要资源而苦苦挣扎，这些资源本应用于有效管控已知风险。而法规的制定，说实话，确实提供了帮助。 站在首席信息安全官的角度，向董事会争取XYZ预算时，只要说明"若不遵守该法规，公司将无法运营"，沟通就容易得多。虽然不该如此，但现实就是如此。 因此，法规能有效聚焦特定领域或特定国家/地区的安全水平提升——具体效果取决于法规内容。长期来看，法规的强化确实推动了安全能力的进步。 当然，企业仍面临挑战——我们每天都能从报刊上读到相关案例——但在我观察的这段时间里，整体水平确实大幅提升。不过我认为必须设定界限：即便是高度合规的重监管行业企业，仍可能遭受网络攻击，因此监管必须划定边界。 我们必须寻求平衡点。我个人欢迎全球监管机构与合规机构开展协作，因为全球范围内的合规要求协调统一，将使我们更容易满足这些要求。在将话筒交给斯科特之前，请允许我总结几点核心信息，他将就主流平台进行简要说明。

布莱恩·利特尔费尔：我想大家都清楚了——至少我是这么认为的，你们可以在提问环节提出异议。无论是为保障安全而管理供应链，还是为满足合规或监管要求而管理供应链，我们的目标都是降低风险暴露。这种风险可能来自网络攻击，也可能如我举例的污水渠问题那样，涉及业务连续性层面。但本质上核心始终是风险管控。但要知道，这是安全领域中永无止境的课题——我们常说安全工作永无终点，这趟旅程永不完结。供应商生态始终处于动态演变与更迭之中，因此我们必须持续推动流程优化，确保措施切实落地。必须始终聚焦风险暴露点。 我们必须持续降低供应商的风险敞口，确保全球治理体系与能力到位，但同时要通过投入正确的能力、工具和流程来减轻团队负担。如今我们能大幅自动化部分流程，将分析结果直接反馈给团队，无需他们手动处理电子表格和Excel文档。 因此，我们需要善用现有技术，并与供应商建立更紧密的合作关系。我比任何人都更清楚其中的挑战——毕竟我们面对的是成千上万的供应商。但供应商与供应商之间存在本质差异。 有些供应商显然对业务至关重要——无论是运营数据中心还是客户对接等环节。我们需要将这些供应商转化为合作伙伴，对吧？ 我们需要全面了解他们的业务，他们也需要透彻理解我们的业务。合同固然能促进合作，但最终合同条款应退居次要地位。若每次互动或会议都搬出合同条款，那便出了问题。我们需要让这种关系走向成熟，从而能就如何提升各组织间的协同能力展开务实对话。

布莱恩·利特尔费尔：我们已经明确，这远不止是IT和安全团队、法律部门、风险部门、采购部门的事。我曾专门做过一场网络研讨会，探讨采购职能如何成为首席信息安全官的最佳伙伴。建议大家去看看，因为我认为两者存在诸多共通点——关键在于将整个领域视为业务风险而非IT风险。 我经常看到人们将此视为首席信息安全官的问题，但事实并非如此。这纯粹是业务问题，我们需要打破安全孤岛，接纳企业内部更广泛的职能部门。我必须再次强调这一点——因为必须反复敲打才能真正理解：若不了解自身数据，就不可能实现合规。 因此要深入解析结构化数据——这通常正是监管机构的要求——并采用"展示而非陈述"的流程。过去常见的情况是：企业声称"我们已建立完善流程，无需审查"，但成熟企业现在更倾向于"不必指手画脚，我们自主管理漏洞"的模式。我们有效管理漏洞，无需你们来检查。如今成熟企业都采取"不要空谈，要实证"的流程——我要证据，要保证，要将这些数据上传至我的平台，确保流程规范切实执行。 所以说，吃一堑长一智才是正道。人们不再满足于空口承诺，而是要亲眼见证实际运作的证据。接下来我将请斯科特为大家介绍主流平台方案，最后我们很乐意回答各位的问题。斯科特，非常感谢，现在请您开始。

Scott Lang: Uh cheers Brian. Thank you. Um that last comment on Brian’s last slide there I think is the perfect segue into a little bit about what I want to share uh with you about prevalent and it’s the show me don’t tell me and you know the process of gathering information and evidence and policies and procedures and due diligence from your suppliers and partners and third parties. I mean I’m not I’m not going to paint a rosy picture here. It’s soul crushing. I understand that. And uh it can quickly spiral an already over um stretched team down into oblivion without the right help. And if you’ve got to prove uh that your third parties have policies in place, security related, data protection related or others, you have to find a way to automate uh the collection of that information, the analysis of that information, and then the presentation of it both to your internal auditors as well as the external folks are going to want to ask questions about it as well. And frankly, That’s what we specialize in. Um our uh the prevalent thirdparty risk management platform is a solution that helps you um centrally assess all of your third parties according to the specific requirements you have to you know assess them against and report against as well. Collect that information through the completion of you know their assessments and the uploading of supporting evidence. Um the review of that information and then ultimately the the re recommended remediations to get them to a place that you’re comfortable from a risk perspective. You know, you’re never going to eliminate all the risk. We know that risk never equals zero. But to get somebody down to an acceptable level of residual risk is the objective of the exercise. And then we can help you, you know, take the time and the manual labor and, you know, the sweat and more, you know, out of that process uh by taking it on on your behalf. We address third-party risk at every stage of the vendor life cycle, not just uh, you know, the the collection of compliance evidence to support uh some sort of a you know, regulatory conclusion, but you know, we help companies uh get intelligence on their potential vendors in the sourcing and selection phase. Um, as you intake and onboard a vendor, we can give you visibility into their existing risk profile as well as some real-time risk insights. Give you some inherent risk visibility against whatever metrics you’re trying to measure against, execute those full and complete assessments. I think we’ve got 75 questionnaire templates built in the platform that you can leverage now from a GDPR assessment to a CCPA or CP assessment. Um, you know, HIPPO related assessments. There’s a NIST framework or so and then some in there. There’s ISO ISO questionnaires. It you I mean the platform’s got a library of them to draw from that you can pick and choose. You can be flexible with, you can build a custom one. We’ve even got a standard survey that you can ask and then map the answers back to whatever requirements you need to on the other end. So the whole process is meant to simplify that excruciating process of collecting that that uh that due diligence and just make it easier to to to manage. Next step is monitor and validate. Once you have the information in the answers from your suppliers and partners, you’ve done a bit of review and now it’s time to really do some controls validation. Uh you know we can leverage some existing cyber business reputational financial monitoring and then have our experts get in there and just do like a controls validation exercise to make sure that you know that uh that their reported controls uh you know map to your requirements you know measuring performance and SLAs’s you know Brian mentioned earlier on in his presentation excuse me that not every risk is a cyber security risk you know the the uh the Suez Canal blockage being a great example of that you may have suppliers that have um some reputational challenges you know maybe they’re not living up to their expectations from an environmental social or governance perspective and you need to have some visibility in that because those can be risks to their ability to deliver to you which is your ability to deliver to ultimately your customers if that’s the case. So managing SLAs’s and performance metrics goes handinhand with with security. And then finally the last piece of the equation that is way too often overlooked is um is offboarding. You know every relationship is going to come to an end and it can’t just be simply flipping a switch and walking away. There’s quite a bit of checklisting and processes and data destruction and and you know offboarding or terminating of of assets and whatnot that have to be uh followed through. And you know one of the values of our platform is that we can help provide that process that automated workflow-based process to guide you through that that uh that that workflow so that when you know that relationship ends you know you you have greater levels of assurance that um uh you know that the right steps have been taken. Uh next step please Brian. Um you know we offer several benefits at every one of the kind of the stage of the of the sales cycle that I mentioned there uh which you can kind of easily understand from from um uh from the previous slide, but I’ll leave you with this this piece down at the end. You know, third-party risk management isn’t just for the cyber security team. You know, Brian talked about that. You know, we talked about it a second ago on the previous slide. It’s also about managing risks throughout the the the vendor ecosystem that might be, you know, reputational, business related, financial related, their ability to deliver, you know, whatever. Which means Third-party risk is going to be important to all kinds of different teams throughout your enterprise. You know, if you’re in the security team, great. If you’re in the, you know, the risk management or or the compliance internal compliance and audit team, great. Um, procurement’s going to want a hand in this as well. And one of the significant values that we deliver as a solution set is that, you know, we can bring together all of these uh different teams under a single pane of glass. Everybody’s looking at the same data, getting the reporting that matters to them, and can take the actions uh uh you know act on that data accordingly. Next slide please. Um you know I think this is the last one. What uh you know we address use cases um from procurement to IT security to legal to compliance to frameworks. Uh you know each one of these items on this uh screen represents a specific uh assessment or questionnaire that we have built into our platform which then maps to a compliance report that you know you can provide. to your internal teams, external teams, external auditors, whatever, uh, to help demonstrate the the the progress toward um, you know, achieving whatever compliance, you know, objective you need to. And on that right hand side, we’ve got all of our threeletter acronyms and even a few four-letter acronyms uh, cooked in there as well. But just a just an idea of, you know, how we specifically help you um, show uh, not just tell uh, of of, you know, the current security posture of your of your third parties. Awesome. Um, and then just a wrap-up slide on on our approach here. Everything I I hope you learned just now was that, you know, our goal is to help make you smarter in thirdparty risk with all of the data that we have in the platform. Help you unify not just yourselves but your internal teams to to to, you know, uh, coordinate action and look at all the same data. And then finally, be very prescriptive uh, in your process. That’s it. Great. Thanks, Scott.

艾米：好的。谢谢你，斯科特，也谢谢你，布莱恩。在整个演示过程中，大家提出了一些问题。 有很多缩写词，我们收到了一些相关疑问。我尽力回答了部分问题，但已告知提问者我会将问题转达给专家，以确保答案准确。第一个问题是：POI A代表什么？具体含义是什么？它源自哪个国家？

布莱恩·利特尔费尔：所以，我记不清这个缩写的确切含义了，但本质上POPIA就是非洲版的CCPA和GDPR。这是南非的法律，对吧？所以

艾米：明白了。好的。我快速谷歌了一下，输入了《个人信息保护法》。看起来嘛...

布莱恩·利特尔费尔：就是那个人。嗯。

艾米：好的。我们有几个问题。我先抛出最后一个投票问题——我提前问这些是怕你们可能要中途离开。我们很想知道，未来几个月你们是否计划加强或建立第三方风险管理项目。选项是：是、否、不确定。 我们随时提供帮助。正如斯科特稍早提到的，接下来我将保留这个投票，继续解答其他问题。下一个问题涉及第七页幻灯片——布莱恩，这应该立刻浮现在你脑海里。关于需要近实时治理的流程（应该是倒数第二个要点），他们希望看到具体案例。

布莱恩·利特尔费尔：众多组织在管理复杂流程时，都需要近乎实时的治理能力。在我看来，这本质上关乎威胁防范。当某个组织对你的核心流程至关重要时——比如仍在运行我称之为"传统电子表格流程"的机构，却未将威胁维度纳入考量—— 那么当某家合作企业因数据泄露登上CNN或天空新闻时，你就会措手不及。将威胁情报融入流程，能让你更快获取洞察，并从组织内部视角灵活调整策略来推动改进。 这就是我所说的"近实时"。你需要近乎实时地掌握供应链动态——虽然不可能真正实时，毕竟问题发生时总有延迟。但关键在于：当其他客户已知晓问题时，你必须同步掌握。 你绝不希望信息流经客户经理转达给上级，再层层传递最终才知晓。你需要近乎实时的洞察。而这些工具结合威胁情报系统，正是赋能企业实现这一目标的关键——让你时刻紧扣供应链脉搏，精准把握动态。

艾米：明白了。谢谢你，瑞安。好的。下一个问题。是否有针对IT应用产品或IT第三方供应商的GDP认证或CCPA认证，用于重新确认其基础合规性，例如静态存储和传输过程中的隐私数据加密等？

布莱恩·利特尔费尔：没错。从软件角度看，这绝对是必然趋势，也是世界发展的方向。如果企业必须合规，那么个人资质认证、软件合规性认证以及企业可采用的解决方案都将应运而生。这是我们长期观察到的自然发展轨迹。 企业对此的需求将日益迫切。比如要满足GDPR合规要求，就必须配备经过认证的专业人员——他们不仅要确保合规执行，还要开展评估与审计工作。毕竟谁都不想在监管机构突击检查时才发现自己违规，企业必须主动进行自我检测。 因此你需要人员和软件来提供这种保障，才能确信我们确实合规。显然从加密角度看，这需要延伸到你的供应链。 若贵司主张对全流程数据实施端到端加密，就必须验证该机制切实有效。当前市场正涌现出新型解决方案，可在不解密的情况下验证加密数据集的完整性——这无疑将为安全保障带来更多可能性。

艾米：谢谢布莱恩。好的，最后看到这里还有一个问题。对于全球性组织在SOC 2审计过程中识别和评估监管要求，您有何见解？毕竟隐私是审计流程中可信服务原则之一。

布莱恩·利特尔费尔：是的，我觉得这是个非常好的问题。从SOC 2的角度来看，它向其他组织展示了你的能力——证明你对安全及其相关方面的重视程度。我认为这正是法规能真正助益之处——能够全面践行ISO、GDPR等标准及各类合规体系。相较于单纯的评估报告，具备SOC 2认证的报告更能向潜在客户展示：看，我们对安全是多么重视。看看亚马逊、谷歌或ISU的SOC报告， 其对法规合规的严格遵循确实令人印象深刻。但正如我所说，他们在此基础上更进一步——你看到的不仅是勾选清单，更能看到他们为赢得信任所做的深度努力，证明自己是托管数据的最佳云服务商。 我认为这将成为其SOP 2报告的核心差异化优势——他们不仅满足标准要求，更实现了超越。这种差异化将逐渐成为客户选择数据托管服务商时的关键考量因素。

艾米：明白了，谢谢布莱恩。呃，还有最后一条评论进来。关于第三方问题，我知道我们重点强调了第三方在本次网络研讨会中的普遍性。不过有人提到，组织治理、风险与合规（GRC）体系包含更多组件，比如政策管理等等。这倒不是问题，只是想确认这条评论是否需要转达给你。

布莱恩·利特尔费尔：没错，我完全赞同。Prevalent会率先承认这一点，这个领域的其他公司也会认同——这本质上是信息增强方案。要知道，我们即将接触的多数客户都已在GRC平台中部署了Archer或其他类似解决方案，而这些平台仍将是核心架构。这本质上是信息增强方案。Prevalent的多数客户已在其GRC平台中部署了Archer或其他类似解决方案，这些平台仍是风险管理的核心，但第三方风险只是其中一部分。该方案能有效增强数据价值，并在平台间实现自动化工作流。 斯科特，你肯定经常在客户那里看到这种情况对吧？

斯科特·朗：没错，绝对没错。你知道，我们有些客户会借助那些 那些大型GRC平台，覆盖面广但深度不足。当客户需要第三方风险管理领域的专业知识来增强整体GRC体系时，就会选择Prevail。很多GRC平台擅长管理企业级风险，但天生无法深入特定领域的两三级细节——这正是客户选择Prevail的原因。对吧？

艾米：明白了。呃，除了刚才那条评论，如果他们使用Archer，是全套都用还是还需要Prevalent？我知道你稍微提过这个。停。还有其他要补充的吗？

斯科特·朗：是的。没错，你需要的是主流解决方案。绝对没错。是的。不，你知道的，Archer是企业风险管理的卓越解决方案。它在市场上已经存在很久了。 不过正如我所说，它的第三方风险管理功能很专精。很好。但要知道，我们是该领域的专家，从零开始打造了解决方案——顺带一提，它能与Archer无缝集成。所以若您有这方面的顾虑，随时联系我们，我们很乐意详细说明实现方式。

艾米：太棒了。是的。谢谢大家。我想问题环节到此结束。虽然我们已经超时一小时了，但如果您还有其他疑问或想与Prevalent的专家交流，可以发送邮件至[email protected]。欢迎在领英和推特关注我们，我们会发布大量优质博客和网络研讨会，或许能为您提供帮助。 斯科特，非常感谢你。布莱恩，也非常感谢你。我收获颇丰，连自己都学到了更多缩写知识。提醒各位，本次会议正在录制，明早将发送给各位。好的，再次感谢两位。祝大家余下时光愉快。感谢各位参与。

斯科特·朗：谢谢大家。祝各位愉快。再见。

布莱恩·利特尔费尔：谢谢。再见。