说明
面对日益严峻的第三方攻击和供应链中断威胁,众多安全与风险管理团队怀着强烈的紧迫感,纷纷启动第三方风险管理(TPRM)计划。然而,他们往往未能意识到潜在的陷阱可能危及计划的成功实施。
加入ISO 27001首席审核员兼实施专家阿拉斯泰尔·帕尔的行列,他将从150余次完成的第三方现场审核中提炼建议,归纳出十大最常见的第三方风险管理计划(TPRM)错误,包括:
- 第三方范围界定与优先级排序不力
- 不切实际的TPRM计划关键绩效指标(KPI)与关键风险指标(KRI)
- 评估设计与分发不完善
- 有限的治理、报告和业务参与
- ……等等
注册参加本次网络研讨会,在启动或完善第三方风险管理计划时,借助经验教训获得启示。
发言人
阿拉斯泰尔·帕尔
ISO 27001首席审核员与实施专家
文字稿
艾米·特威德:好的,欢迎各位。我看到大家正陆续入场。在各位就座安顿之际,我将发起一个快速投票——我们非常好奇各位今日参与本次网络研讨会的动机。本次研讨会主题是"第三方风险管理项目十大常见错误"(抱歉,应为第三方管理项目)。我是艾米·特威德。 我将作为主持人协助收集问题,确保活动顺利进行。各位正在入座时,屏幕上已显示投票问题:您参与本次活动的动机是什么?是出于学习目的吗?今天您可能会收获颇丰——这个话题非常热门,我本人也期待深入学习。或许您即将开展第三方风险管理项目,想了解需要规避的风险点。 这场网络研讨会绝对值得参与。或许您尚不确定参与目的,但不妨留下来,说不定会有收获。当然,您也可能是我们的老客户——这同样令人欣喜,您正在学习如何充分利用我们的平台与服务。好,在将聚光灯转向今日的主讲人之前,请允许我说明几项注意事项。 本次会议全程录制,若您中途需离席,录播视频将于明日清晨发送至您的邮箱,您可随时回看。此外,我们希望保持高度互动性。屏幕底部设有问答功能区,同时开放聊天功能。当阿拉斯泰尔和 乔进行讲解时,若有任何疑问,请随时发送给我们。 我们真心希望提供帮助,所以请务必参与互动。言归正传,各位来此并非只为听我发言。现在我将把话筒交给阿拉斯泰尔·帕尔和乔·托利。阿拉斯泰尔·帕尔是Prevalent公司全球产品与风险管理高级副总裁。 今天我们还邀请到Prevalent团队的另一位成员乔·托利,他曾协助数百家第三方风险管理客户建立风险管控体系。那么现在请两位接手。希望你们今天都好。非常感谢。大家好。乔你好,能听到我吗?好的。
乔·托利:当然可以。大家好。
Alastair Parr: Lovely. So, uh, between myself and Joe today, we’re going to give you a bit of insight into the key challenges and issues that we’ve seen from really assessing and managing hundreds of third party programs over the years and invariably we tend to see the same mistakes and issues and and fundamentally the challenges whenever we start engaging with uh respective customers and clients around the third party program. So, between the pair of us Uh beyond our general experience of having the oversight of third party programs, we’ve also got backgrounds in data loss prevention respectively uh firewall and and incident management uh as well as operations and delivery both for information security programs as well as of course third party risk specifically. That’s enough about us. Without further ado, uh just to set the scene slightly, we’re just going to give you a little bit of insight into really fundamentally what’s involved in a third party program. And as I’m sure many of you already know, but for those who don’t, just to reinforce, and this is really where all of the key issues that we find stem from, uh there’s there’s a series of activities and actions that formulate a third party program. And starting at the top, what we typically see is that people start off with understanding, well, what are we actually trying to achieve? What what’s the maturity of a third party program? Uh based on what we want to achieve, how are we going to track and react to that? So, what are the KPIs, KISS that we react to? Then they define the scope. So, well, we know what we want to do. What do we to do it against and they outline the third parties and then they define what they want to assess them against. So how deep do we go? How broad do we go? Are we using assessments? Are we using monitoring etc. From there they tend to start doing assessments capturing data whatever it needs to be and then standardize and review that data set. Uh they obviously have to involve the business third parties in that process etc before finally actually doing something with the data and then funament ly repeating that process time and time again. Now, we’ll touch on some of the key issues and challenges that we see across the gamut of everything you see in front of you now, but something we’ve learned over time is it’s very very similar to how we deal with datos prevention programs, which is there is a sea of information that you need to troll through and get through and assess. And once you’ve got that data, people get paralyzed with what on earth do I do with it? How can I make it actionable and interactive as a as a human being? And we’ll touch on some of that shortly. So, Firstly, as the primary starting point when we look at a third party program, people start with governance, reporting and business involvement. So they’re understanding from that prior slide, what are we looking at? What’s our definitions of maturity going to be defining our KIS etc. It’s really that initial starting point which is capturing requirements and understanding uh the contributing factors and metrics that drive our program. And when you think about that, the very first challenge that we often see and the top issues is really down to the community. ations and responsibilities process that you see from the outset. So we’ve always and consistently seeing that a third party program as you expect is it’s a team effort. It’s a team not just in the sense of the third party risk team but uh it’s a team effort between legal procurement infosc compliance audit etc. All working together and the business all working together to prop up this this concept of a third party risk program. And too often we’re seeing people working in isolation. Vested teams have established processes the business users disin interested etc. and they’re not working in collaboration. Tied to that is well how do we actually get people to work together? They’re not defining the roles and responsibilities on interactions. People are intrepid about engaging the business in any sort of meaningful way. Uh and they don’t want to disrupt existing patterns and processes that might be in place. That could be in a specific business area that could be related to how the business operates themselves but fundamentally they’re they’re scared of change in that situation. Now hopefully For those of you on the call that have a program, that is you there at the front spearheading this uh this functional and collaborative third party program. But more often than not, we uh we do tend to see people um unfortunately with a slightly less polished approach, should we say, to third party risk management. So what can we actually do to prepare? How do we address these issues? First and foremost, what we normally recommend is start looking at the life cycle of life cycle of third party risk management. So we want to understand what what Where does it start from? Well, we have sourcing, RFP, RFX processes up front that define who a third party is. That goes through various systems through contracts and procurement. Uh, and then goes through an intake process to be on boarded. Uh, that of course then follows through to the third party program eventually who can then prioritize, tier, classify, and then drive risk remediation downstream. And the big issue we tend to see here is that far too often people are focusing on this tail end of this endeavor and they’re working in that isolated pocket. So, we’re always strongly recommending now to address this. Make sure you engage with everybody who’s involved in these upfront processes and make sure they’re capturing the right data from the outset. Next, what else do we recommend and what do we typically see is that well, we recommend you understand the criteria. So, tied to roles and responsibilities, we would really strongly recommend that you know in your program what are the business functions that are supporting it. Uh what visibility you need in order to drive that program. How will we get engaged with audit for improvements and also ownership most importantly at the bottom left there? How do we get ownership from the business and the various vested parties to drive that third party piece and that lends itself to thinking about who are the various participants in this program and I’ve alluded to it already but the fact is there are multiple parties involved procurement legal risk operations and audit and they all play a meaningful part in that process. The best third party programs we’ve seen have got all of those parties involved, interested, and collaborative and communicative in how they want to engage this. As much as they might have their own piece and objective as if they’re able to work together and see the fact that each relevant party has some contributing factor and need uh then it works out best. And we see that function quite well with things like uh operations and governance committees that can meet on a monthly basis, steering committees uh that would drive that third party program with representatives from all of these so that people can support one another. So the information collection mechanisms used can support obviously the risk assessment components help operations with looking at supply chain downstream looking at SLA and performance management and so on. So everybody can get some some value out of the program and should be working together. So moving on to uh specifically roles and responsibilities Joe is there any particular uh challenges or issues or good practice you want to share?
乔·托利:是的,当然,阿拉斯泰尔。非常感谢。嗯,最常见的问题之一——你可能会认为这是构建项目的基础——就是缺乏或未能创建一份最新的操作手册来支持项目。这份手册应包含关键流程、核心职责分工及具体任务,以确保项目顺利推进。 我们通常发现的情况是:要么根本没有操作手册,要么是项目启动时草拟的文件,却长期缺乏维护。因此强烈建议定期进行有意识的决策或检查,确保操作手册的建立。 确保每个构成要素都有明确的负责人,这样才能保证手册持续更新。它不仅是推动项目成熟发展的参考指南,对项目内部的新成员而言,更是随时间推移逐步完善项目的操作手册或流程指南。
阿拉斯泰尔·帕尔:太好了。谢谢你,杰伊。乔·托利:不客气。阿拉斯泰尔·帕尔:那么,我再重申一下要点。我们本质上追求的是协作共事。我们不希望人们各自为战,那些利益相关团队和协作努力对于应对我们所见到的某些共同挑战至关重要。 接下来在第三方生命周期中,我们要探讨项目关键绩效指标(KPI)和关键结果指标(KRIS)。这些指标用于衡量项目成功与否,无论项目性质如何。遗憾的是,尽管这是至关重要的领域,但在评估第三方项目时却常被忽视。人们过于专注于能否实施评估、能否实现监控, 而面对海量数据时,人们往往忽略了所采集信息的深度与背景关联性。这实属人之常情——当面对数以千计、万计的数据时,人类大脑确实难以处理如此庞大的信息量。 我们看到的情况是:人们用数据体量来标榜成就,宣称"今年完成了5000次评估"、"对4万家供应商实施了监控"等等。这些数据孤立看确实耀眼,但当你意识到企业实际拥有15万家供应商时,这种成就就显得微不足道了。 他们将覆盖率作为成功指标,这固然重要,但还有诸多其他因素。我们发现许多人未能将评估结果与可用资源有效关联。 这关乎项目实际可行性。倘若仅靠我和乔两人推动覆盖15万供应商的第三方项目,成功率必然有限,我必须相应调整对同事、社区及业务部门的期望值。人们常有能力不足却贪多嚼不烂的情况。 其次,太多人未能预先规划风险容忍度。他们未考虑:基于现有能力,我们能接受多少比例的风险?我不可能要求修复每个发现的问题,这根本不现实。最后,一个普遍存在的问题是——太多人高估了第三方供应商的协作意愿。 例如,若仅启用被动监控,这固然是项有益的指标性信息。但若要深入了解第三方状况,就必须与其开展合作、进行评估等工作。而通常——几乎毫无例外——一旦他们拿到你的钱,就不会特别愿意提供信息了。 面对这些误导性且不切实际的目标,人们往往仅凭表面现象就断言现场混乱无序、管理失当。但这种混乱通常受制于你设计的项目框架——若在45度陡坡上滚动奶酪,自然会出现些许混乱。 但若为自己设定合理参数,结果将大不相同。那么,我们该考量哪些因素来证明进展良好?首要的是成熟度评估。乔,希望你能分享对优质成熟度评估的具体期待。
乔·托利:当然。我们非常推崇成熟度评估。我们发现许多组织尚未充分开展这类评估。我们建议每季度进行一次评估,这能提供一个正式机会,让团队从项目中抽身,审视构成项目的关键要素,推动项目发展,并切实评估各环节的执行成效。 我们采用的方法基于能力成熟度模型,具体操作是:首先确定关键要素,然后与实际运营或管理这些要素的团队进行细致评估。例如:- 评估第三方计划的覆盖范围:实际评估了多少第三方?存在哪些差距?- 审查所采用的内容:这些内容是否基于行业标准?质量是否足够?能否捕获所需数据? 接着评估所采用的内容质量:是否基于行业标准?质量是否达标?能否满足数据采集需求?随后深入运营层面:审视职责分工、操作手册(即前文提及的文件)、整改措施,以及支撑整个计划的指标体系。 若计划每季度开展此项评估,将确保您持续记录薄弱环节与优势领域。同时需明确责任归属,推动关键领域的改进。 这类评估的真正价值在于:若将成熟度评估转化为可量化的指标体系(如五支柱方法所示),既能精准定位薄弱环节——尤其是通过评估发现的核心缺陷,同时也能逐季展示取得的阶段性成果。 若实施了有意识的改进项目,通常需要向业务部门证明:投入内容优化的资源正在产生积极影响。而随着时间推移,成熟度评分的提升便是最有力的佐证。
阿拉斯泰尔·帕尔:谢谢你,乔。我们也收到一个问题。不知你能否回答——在企业内部,谁最适合执行成熟度评估?乔·托利: 是的,这是个好问题。通常我们建议由项目负责人来承担这项工作,即由专人统筹管理整个项目的责任归属。但这类负责人往往无法全面掌握所有细分领域的状况,因此关键在于将评估环节的不同维度与相应的专业代表进行匹配。 例如,若有人负责内容管理,且其职责包含审核季度发送的问卷,那么显然他们最适合深入分析该部分。因此,尽管需要有人承担项目整体责任,我们仍建议设立专项委员会来确保评估结果的精准性。阿拉斯泰尔·帕尔:好的,感谢乔的补充。需要强调的是,若贵方缺乏相关资源,请随时告知我们——我们也提供免费的成熟度评估服务。在完成成熟度评估后,当您充分理解该评估在覆盖范围、内容、角色职责、整改措施及治理等维度所呈现的实际目标时,即可着手分析项目本身的核心关键绩效指标(KPI)。例如,我们常采用的评估机制包括:在覆盖范围、内容、角色职责、整改措施及治理等维度上实际追求的目标后,便可着手制定项目核心KPI指标。例如我们常考量的评估工作流机制——需注意这些指标不可孤立审视。若以第三方资产覆盖率为例(开场时提及15万项资产中完成5,000项评估,5,000听起来不错,但百分比显示实际效果不如预期。评估响应率同样关键——无论是执行评估还是启用监控,实际达成率是多少?有多少比例获得了有效响应? 这是关键指标,能帮助我们洞察哪些措施有效、哪些无效。常见问题在于人们盲目认为最初建立的流程始终有效,而现实是需要不断调整方法论,才能促使企业方、第三方等主体作出响应。 接下来是风险管理环节。每月需设定风险降低目标:具体要将风险值降低多少?何为理想状态?哪些风险已降至可接受水平?这里涉及风险容忍度与风险阈值的设定。 常见问题在于人们未能划定明确界限,明确表示"我们只接受低于该数值的风险"。在场的风险管理专业人士都清楚,风险具有绝对性——世间永远存在某种风险,不可能完全消除所有风险。 基于此,企业应当明确声明可承受的风险范围,同时界定关键控制措施及绝对不可接受的风险领域——这些才是真正需要关注的风险范畴。这些指标不仅应支撑低层级KPI,更要确立管理层对"良好状态"的预期,成为项目评估与追踪的有效标尺。
阿拉斯泰尔·帕尔:不过乔,我想请你帮我厘清一下。这究竟如何转化为一个流程——一个优质的第三方流程?乔·托利:是的。问题在于。嗯,我们有这个生命周期图,你可以在右侧看到。嗯,以这种方式呈现信息的主要优势在于,我们意识到第三方项目需要频繁审查。嗯,这些项目需要随着时间推移不断改进和优化。 正如我之前所说,这是许多组织常犯的错误。他们初始阶段建立流程后,却未设置定期审查机制,也未建立持续优化项目支持工作的机制。因此关键在于审视整个生命周期,确保通过有意识的决策实现持续改进。 正如阿拉斯泰尔所言,这涉及范围管理——若初期仅评估5%的第三方资产,支撑流程可能相当基础,现有资源足以应对。但当范围逐步扩大时,就需要重新审视这些流程,思考如何优化以适应新增或变更的范围。
阿拉斯泰尔·帕尔:谢谢你,乔。眼尖的朋友可能注意到,乔担任的是项目总监而非项目经理——正是因为这需要一个可迭代的循环过程。当涉及第三方项目时,这绝非一次性任务。因此你会发现我们始终将第三方项目称为"项目",业内普遍如此称呼,正是基于这个原因。 这是一个需要持续修剪、调整、优化的生命周期,才能不断提升效能。接下来,我们将聚焦于:已定义的KPI指标体系(KISS原则)、已确立的项目基准与衡量标准,进而着手梳理第三方资产组合,进行范围界定与优先级排序。 当我们着手处理时,会发现这本质上是规模问题——常见困境在于太多人缺乏有效数据。这未必是他们的过错,而是长期累积的糟糕业务流程所致。他们可能从入职流程中就未能获取关键信息,不清楚哪些数据可用。 我们是否清楚第三方支出情况?是否了解其具体业务?是否明确业务负责人?等等。而数据本应为这些关键决策提供依据。 虽然可以尝试追溯补救,但当涉及大规模第三方项目时,这本身就是项艰巨任务。更常见的是,人们往往未能真正把握业务背景——决策依据仅停留在总支出额和基础服务内容层面,却未深究第三方实际为我们提供了哪些服务?他们究竟支撑着哪些业务线或服务? 最后,太多人好高骛远。具体表现为:他们在优先级排序和分类过程中过于乐观,比如采用1-3级模型(1级最关键,3级最次要)来划分项目。他们可能试图遵循80/20法则,将20%的资源投入1级项目。 但这种比例分配并未考虑实际情况。若仅靠我和乔两人执行计划,面对海量工作量显然不切实际。现实是:要么调整优先级以匹配企业资源,要么大声疾呼争取额外资源——无论何种形式——才能真正实现业务目标。 因此我们常采取的做法是:前期投入时间进行资源测算,基于现有人力、技术等资源评估实际可处理的任务量,并将结果融入优先级排序与权衡机制。面对规模问题,人类处理能力显然存在瓶颈,这确实是个难题。 人类天生不擅长处理大规模事务。不过我们发现有几种方法能有效应对:首要考量是明确范围边界——何为第三方?这看似基础的问题,现实中却常被忽视。许多人在启动项目时,对第三方概念存在先入为主的认知。 但若真正审视"第三方"的定义,其内涵远比"供应商"或"供货商"更为广泛——这种设计初衷正是如此。第三方实质上涵盖所有支持企业运营的实体:承包商、服务提供商、辅助系统的资产设备皆属此列。 此外,那些能进入你场地的人员也可能间接关联到第三方,比如第四方。所以当你真正理解了范围涵盖的内容后,就会面临如何优先处理的问题。乔,你觉得人们在优先级排序时会如何考虑这些因素呢?
乔·托利:是的,当然。我认为大多数组织最需要建立并完善的首要环节就是入职流程。目前很多组织在前期并未收集到关于所提供服务的准确信息,因此无法识别第三方可能对业务造成的影响。显然,对所提供服务进行分类甚至生成报告会非常有帮助。 但更关键的是评估第三方服务出现故障或交付失败时的潜在影响——业务单元是否会瘫痪?系统是否会崩溃?通过这类问题明确第三方对业务的真实影响,将极大有助于确定优先评估对象、评估类型及评估内容的范围。 显然,优化前期入职流程至关重要——这确实是普遍存在的短板。同时要确保现有信息收集系统得到充分利用,识别可立即调用的资源以支持项目推进。 若您尚未建立完善的入职流程体系,仍可通过现有信息资源来识别并形成第三方评估的优先级排序。这类工作常因工作量庞大而被忽视,但其实非常值得投入。 但采购团队的采购系统、既往GDPR合规项目记录、需满足PCI合规要求的已知第三方等渠道均可提供可利用信息。这些资源能有效揭示现有数据价值,帮助您在纳入计划时建立供应商或第三方评估的优先级体系。
Alastair Parr: Thank you very much, Joe. Now, we actually had a question come in which uh which ties into uh our next point, which is how should organizations consider beyond tier one of the supply chain for TPRM? Uh and it’s a very good question and quite often we tend to see success being in a as you expect a sort of a pyramid-esque model here. Um what we typically see and what we are recommending people do is that they start um aortioning the right quantity of effort that they can against uh the right third parties. So you can see here is a generic example. We’ve got say 15,000 vendors in our estate. Uh ap sorry 15,000 vendors in our estate that we want to try and manage of which say 4,000 are going to be subject to continuous monitoring because they’re prioritized. 2 and a half thousand would therefore get some form of risk remediation or assessments based on that. Uh 1500 assessments are distributed. 300 contextual assessments are done which is of an in-depth review of the assessment results. results uh 100 of those might be subject to additional validation exercises and then of those 20 might require on-site audits. So when you actually look at that in the entirety of it, you’ve created multiple tiing. So yes, you do have a tier one, tier two, tier three model where you might say assess the tier 3s on a every two three year basis. You might just use continuous monitoring against them etc. But the reality is you really need to start breaking down the tier ones as well to consider the level of effort you want to invest against each of those tier ones. So, some of those might need an on-site or remote audit. Some of them might need some contextual information shared with the business, for example. Uh, and that may extend beyond the tier ones as well. Now, tied to that question. So, if we’re actually looking at the tier 2s and the tier 3es, we appreciate that we might not do very much of them. We may just repeat this process on a slightly less frequent cadence. It’s all going to be tied again to the business resource. If if you’ve only got a small number of people to actually manage your third party estate, you may really never be able to do more or anything than tick a box or or try and do some very lightweight assessments against those third parties or be quite reactive in in how you’re engaging with them. But the best chance you’ve got is enforcing as part of the renewal process capturing information on that third party so you can make an effective decision about which tier they’re in and therefore what amount of effort you’re going to associate to those. So it can be an iterative process to start feeding them into this this broader life cycle and workflow. So onwards to assessment design and distribution. So we’ve tiered, we’ve profiled, we know who we want to engage with etc. And obviously a core foundational component of a third party program is assessments and continuous monitoring associated to that. And when we look at the the the noise that we see associated to a to a third party estate and managing them, we see some very common themes and issues. So firstly, we’re seeing that too many lack regular consistent assessment formats. Now this is simply a case that it may be while not a one-sizefits-all approach for assessments. You at least want to be consistent in the fragmented question sets that you’re asking them. So, you should always be asking about certain key controls. Uh certain domains might be only relevant for certain services, but you want to be consistent in how you structure those domains and capture the information. And those domains are beyond assessments. We’re talking about cyber monitoring, business monitoring, financial monitoring, ESG, etc. Uh too many of them are actually failing to consider the communication mechanisms, which is well, how do we actually engage with these third parties in a way that’s effective and at scale. Quite often they’re relying on an initial interaction and then realizing that 50% of the estate isn’t actually responding back. So they don’t know how to actually talk to the business uh their own business as much as the third parties. And then too many fail to ask contextual questions across a full profile. And what we mean by that is people are sending out say SIGs, HISAC assessments, PCs, their own proprietary assessments, whatever it may be. But what they’re not doing is actually asking the the the questions you’d expect. up front. So, we’d want to understand who are they, what are they doing, what do they need to do that, how are they doing it, etc. The information that helps feed and drive our decision-m process and also too many of them are simply failing to engage the business. Now, this is probably the most prolific issue we see when it comes to the assessment methodology, which is we are driving a third party program because these third parties are providing a service to the business. It’s not just Joe and I who are getting value out of these third parties. We’re not doing it for fun. Uh we’re doing it because the business has a need to do so and they’re essentially functioning as our customers in a third party program. So we need to engage with them, communicate with them and share the information around what a third party is doing and where necessary getting their involvement and buyin. So these are the stakeholders, the project sponsors, these are the uh relationship managers, the third party etc. They should be as part of that assessment process as possible. So we look at that sort of consistency and engagement. There also needs to be some form of structure. It can’t be some lovely freeforall for that sort of third party process or third party party. We need to make sure that we have consistency in that approach. So Joe, I was hoping you can give me a bit of insight into what you’re seeing as good practice and what some of the pitfalls and traps are related to uh way to to the assessment methodology of a third party program.
乔·托利:嗯,当然。近年来,我们确实看到过许多评估第三方时采用的奇特而新颖的方式,比如使用不同内容的问卷调查之类。不过我认为最常见的弊端,在于数据采集效率低下,导致无法有效识别风险并进行风险管理。比如采用开放式文本回答的问卷形式—— 这意味着需要耗费更多时间解读反馈数据。一旦采用自由回答形式的问卷,不仅难以识别风险,连风险评分也会出现不一致——不同审核人员会以不同方式解读回答。这使得企业难以建立准确、标准化且一致的风险登记册,当然也会导致报告内容不统一。 因此需将问卷内容优化至可重复使用的程度,尽可能采用二元化设计以捕获标准化字段,进而关联风险权重与评分体系。这种方法虽常见,却能为企业创造最大价值。 一旦风险定义明确且风险权重确定,这项工作就成为可沿用至整个业务的标准化流程。通过审视风险、评估分数,既能识别业务层面可接受的整改范围,也能明确当某项风险达到特定评分时后续处理方案。因此确保内容设计尽可能高效至关重要。 前期需要投入时间确保流程足够精细化与二元化,但这无疑为未来高效管理内容及反馈响应铺平了道路。
阿拉斯泰尔·帕尔:谢谢乔,我完全同意前期工作和筹备——也就是派对策划——对后续发展至关重要。举几个我们观察到的例子:如今我们更常接触到的内容类型,通常涉及第三方项目(正如我所说,这类项目往往牵涉多方),其中我们注意到信息安全方面的考量——关键控制点、核心领域等业务连续性、灾难恢复能力尤为重要。有趣的是,过去18个月里,合规性审查、审计及法律义务的监管要求日益凸显,如何将加州法规、GDPR、本地法规以及基于垂直领域的数据保护条例纳入考量成为关键。 如今越来越多企业开始关注被动漏洞扫描、渗透测试结果,并重视渗透测试的执行摘要——如今这些内容已变得至关重要,人们不再仅依赖SOC 2报告或ISO 27001适用性声明,而是寻求更全面的验证与适配性评估。例如ESG财务稳定性、道德控制、质量可持续性等要素,在某些第三方项目中正日益占据主导地位。 从历史角度看,过去人们极度关注安全防护的"最左端"(即基础防护),但随着时间推移,我们观察到各方正逐步将额外威胁标准和适配性纳入项目考量。值得庆幸的是,尽管这是普遍存在的问题,但我们看到各方正逐步解决这一问题,这令人感到安心。现在,当我们审视某些需要关注的标准时,就需要考虑供应商档案的构成。 以第三方项目为例,无论是第一层级、第二层级还是第三层级,我们可能需要为每个层级覆盖特定子集。而常见的误区往往在于人们只关注认证或评估其中一项,这种做法存在风险。
阿拉斯泰尔·帕尔:我们确实建议综合考量所有这些因素,而人们常犯的一个错误是孤立看待某些指标,比如仅关注财务概况。他们忽略了信用评级这类要素,不参考ESG数据流,也不关注主动事件和商业背景信息。比如当我使用某家服务时,就能预见他们三个月后将被收购。 这意味着我需要预判其运营模式的潜在变动。这些情境数据能帮助我深入理解第三方行为特征,完善其风险画像,并最终优化风险管控策略。左上角图表显示越来越多企业正关注此问题,但本质上这仍是第三方风险管理中最棘手的环节——即第n方风险。 我们连管理第三方都力不从心,更遑论追溯第四、第五、第六层供应商了。对此尚无快速简便的解决方案。 我们需要资源,更需要智能化的获取方式。因此至少建议大家主动提问:你合作的最终方是谁?为何选择他们?至少要获取背景信息,即便无法直接接触最终方,也能据此做出决策。现在来看前期准备工作,我们需要明确这些工作流的关键要素: 我们需要明确:何为理想状态?风险评级标准是什么?评估问题集应包含哪些内容?将启用何种监控机制?对业务方及第三方有哪些整改要求? 优秀的合规计划需覆盖底部三个关键领域。单点故障仍是普遍问题——除非您已开始记录历史整改措施及当前行动。例如,您可能依赖少数审计员或顾问作为领域专家处理该风险领域的所有事务。这固然可行。
阿拉斯泰尔·帕尔:但当他们某天离职,由视角和风险承受能力截然不同的人接替时,这种差异必然会体现在结果中——无论你是否预期,项目都会开始偏离轨道,并逐渐显现出规律。因此我们建议系统化记录并保持一致性,确保风险追踪、评估与需求管理流程的规范性。 此外,应着力规避部分故障点。我们不建议采用简单的"是/否"式回答,而推荐在评估环节设置明确的、具有指导性的多选项。实践证明这种方式更有效——因为你是在指示需要呈现的内容,而非让受测者直接解读问题集。此举还能大幅精简问题集,并能明确我前文提到的建议事项。 第三方沟通环节是当前第三方风险管理中的重大问题——各方虽向业务部门发送评估问卷并开展互动,却往往忽视营销层面的考量。我们既要与内部业务部门对接,又要与外部供应商、第三方合作方沟通,但这些沟通的时机、语气及来源通常未被纳入项目规划。因此针对评估结果不足的问题,我们发现最快速的解决方案是:同时又需与外部供应商、第三方供应商沟通。但往往这些沟通的时机、语气及来源并未被纳入项目规划的前期考量。因此,针对评估结果不充分的问题——例如受访者不回应评估、缺乏互动或业务方直接不参与——最快速的解决方案之一就是考虑这些因素。这通常是我们处理项目时能看到的较为简单的改进点。 因此我们需要深入理解:如何与业务部门建立有效互动?不仅要确定时机,更要把握沟通频率。我们需要理解沟通语气——如何通过有效传达获得业务部门的反馈?同时需明确发声者身份:是首席信息安全官?首席信息官?信息安全经理?还是业务代表经理本人?
阿拉斯泰尔·帕尔:要知道业务中不同环节都可能影响决策,需要争取各方支持才能推动行动。甚至可能需要采购和法务部门介入第三方合作方的风险评估。因此本次会议的核心启示之一就是:务必重视第三方沟通策略。 其实我们可以借鉴各公司营销团队的经验,了解哪些方法有效、哪些无效。现在我们拥有海量数据,进展非常顺利。我评估监控的1万家供应商中,每家都存在上百项风险,如今面对这片数据海洋却不知所措。 在实际整改与追踪过程中,我们发现一个重大问题:前期需求与驱动因素定义模糊。太多企业未能事先告知第三方"达标标准"——我们究竟期待他们做到什么?供应商希望获得指导,以最小投入满足企业需求。我们必须为此提供明确指引和里程碑。 我们建议提前提供整改指导以优化流程。理想状态下,应向其提供可复用、可再利用的内容资源——只要确保其有效运用即可。同样值得关注的是,太多人未能真正将问题责任下放给第三方。他们自诩为审计者,承担起推动问题解决的责任,而我们真正需要的是赋能第三方直接管理风险整改流程。 否则我们将陷入被动:面对数以百万计的风险问题虽能追踪记录,却因无力解决而陷入瘫痪。究其核心,这类问题往往本质上是规模问题。
阿拉斯泰尔·帕尔:问题在于,我们有许多参与方只想做最低限度的努力——他们希望继续从你这里获取服务收入,却不愿为此投入任何额外精力。 此外,我们需要确保他们以有效的方式执行,并能证明我们达成了关键绩效指标(KPIs)和关键信息指标(KIS)。从这个角度看,你就会意识到,这种做法本质上是在伤害——嗯,大量第三方资产,这显然是个问题。对于那些试图伤害猫咪的人来说,你们应该明白这需要技巧和运气。 但在构思流程框架时,我们需考量几个关键要素。首先,这张幻灯片内容繁杂——因此我特意用精美的图片开场。之所以繁杂,是因为它展示了优质项目的典型工作流。 你们看,其中包含多重检查点、多重评估标准、多重阶段和步骤。但若将其分解至最基础层面,本质就是穿越这些里程碑,理解需要投入多少精力,并在达到相应里程碑时及时停止——绝不做多余之事。 数据已回传,是否需要进一步介入?是否需要投入更多资源?这个整改、追踪和管理流程的核心,就是以最少的资源投入获得最有效的成果。我们看到许多人被完美主义束缚,试图确保每个环节、每个供应商都做到极致。但绝大多数情况下,这完全没有必要。 关键在于修复流程中存在里程碑和检查点,允许我们适时终止当前阶段并推进至下一阶段。这一原则同样适用于第三方项目管理——追求完美不应成为终极目标。那么乔,关于如何有效推进风险修复,您是否有相关指导建议或见解?
乔·托利:是的,这里有很多想法。主要围绕着你需要提前定义逻辑来支持这类流程。正如你所说,阿拉斯泰尔,可能需要处理数以万计的风险。因此,找到一种优先处理这些风险的方法至关重要。我认为最值得投入时间的,就是仔细审视实际调查内容,并以此为起点展开整个流程。 通过审视问卷中的问题设计和现有回答,我们可以预先设定第三方特定回答对应的后续处理方案。比如当询问第三方是否制定信息安全政策时,若对方回答"否",我们已知可能的处理结果。因此不妨花些时间在内部明确:当出现此类回答时应采取何种行动。 显然信息集政策至关重要。因此我们应预先制定基本准则,明确整改团队与第三方对接的流程、沟通内容及预期要求。例如规定第三方须在3个月内建立包含X、Y、Z要素的信息集政策。 通过问卷内容及其中关键控制措施,我们已能明确后续步骤,并制定一套操作手册来指导如何审查答复内容,同时有效管理由此产生的风险。这样做的实际好处在于:若前期已明确这些信息,我们就无需依赖风险整改专家。 若遇资源短缺导致月度风险处理量不足的情况,通过建立"如果...那么..."的逻辑框架,可安排分析师团队成员承担首线职责——即直接对接第三方机构协助解决风险。 通过投入时间分析问题、响应及特定响应场景下的应对措施,我们能显著提升流程效率。好的。关于优先级设定,我们需要从问卷内容出发,明确补救流程中必须达成的关键控制点。 比如针对一级供应商或第三方,是否存在必须满足的特定风险控制或问题清单?同时需明确我们对合作方"达标"的具体标准,确立推进合作的基准层级。 若能投入时间明确这些参数,我们自然能更有效地运用工具与第三方开展合作——通过高效沟通设定明确的交付时限,从而推动供应商共同推进项目。此外,凭借我们对风险评估和预期定义的经验积累, 我们还能合理管理第三方在风险应对过程中应承担的工作量,确保其支持力度与我们的预期相匹配。
阿拉斯泰尔·帕尔:谢谢乔。我看到有几个问题正在提交。我们将在问答环节尝试回答更多问题,但其中一个问题我特别想提出来,因为它与当前讨论点密切相关:如何在提供补救指导时避免因指导失败而承担责任? 您是否在提供高层次指导时避免涉及具体行动方案?这个问题非常关键,因为在建议对方实施措施与承担相应责任之间存在微妙平衡——您作为顾问, 你并未免除他们践行良好实践、建立内部审计与合规机制的义务。我们讨论的是提供实践框架与洞见,展示良好实践的样貌。建议先告知预期标准,再由他们提交业务落地方案。这绝非千篇一律的模板。 在风险管理层面,这绝非一刀切的解决方案。实际操作中,他们需要向你提交具体实施计划,而作为风险合规专家,你必须基于充分信息判断该方案是否符合风险承受范围。当然,你需事先声明不承担任何相关责任。 问得好。在转入其他问题前,让我们回到最初讨论的第三方工作流本身、第三方生命周期以及今日探讨的核心内容。第三方项目管理过程中自然包含多重要素。 正如各位所见,许多环节始于前期准备工作。若贵司正在推行或接管第三方项目,前期可能存在某些不良实践。 切勿盲目沿用——我们强烈建议您深入挖掘这些流程,与业务部门沟通确认其必要性,并在可行时进行调整优化。许多项目失败的根源,往往在于继承了前任建立的脆弱基础架构。 因此前期规划至关重要,后续更需持续优化、微调和精简才能见效。左侧图表展示了海量数据处理过程中的标准化与基准化流程——当然可借助机器学习、人工智能等技术辅助,但人为因素始终不可或缺。 与第三方互动时存在情境差异,我们的要求和决策流程也会影响整改措施的推进方式、实际执行过程及成效评估。若要总结最佳实践与需规避的误区:切勿在不良根基上施工,应建立可重复的系统化方案。 确保建立成功的机制保障。务必使工作目标与可用资源规模相匹配,并预留充分时间进行前期规划,从而实现流程的可重复性、一致性、情境捕捉能力及与业务部门的深度协作。在进入问答环节前,Joe,您是否还有补充?
乔·托利:关于这一点,阿拉斯泰尔,我觉得——嗯,你知道,这确实是个很好的切入点。如果你正在考虑如何推进和优化某个项目,特别是当你接手的是既有项目时,这确实是个很好的起点。 我强烈建议先完成我们讨论过的成熟度评估阶段——通过对构成健康项目各环节的检查点审查,明确潜在薄弱环节。这可能揭示一些基础层面的问题,这类问题往往能快速轻松解决,却能显著提升项目整体效率。 这个过程其实相当简单。因此我强烈建议优先开展这类评估工作,它能明确指出可改进的环节,正如我所说,其中不乏快速见效的方案。
阿拉斯泰尔·帕尔:谢谢乔。我看到问题正源源不断地涌来。接下来几分钟我们将进入问答环节。艾米·特威德:好的,我马上回来。在开始提问前,我先让阿拉斯泰尔 和乔休息一下,他们可以喝口水喘口气。 但刚才的演讲实在精彩!尤其喜欢那张猫咪听力测试的图片——太棒了,画面感十足。我快速发起个投票,以防有人需要提前离开。正如我们所说,我们随时提供帮助。若您计划今年或明年初建立/完善第三方风险管理项目,请告知我们:是/否/不确定。 我们随时提供支持。若需咨询,也可邮件联系[email protected]。现在进入问答环节,我看到已有几个问题。投票将保留片刻,若您在结束前还有其他疑问,请随时提出。 这是解答所有疑问的绝佳机会。阿拉斯泰尔·乔,我将逐一宣读问题,随后开始讨论。好的,准备就绪。首条问题是:您是否见过因第三方风险管理结果不佳,导致企业选择将业务活动收回内部处理的情况?
阿拉斯泰尔·帕尔:是的。这确实是个很有意思的问题,因为实际情况往往是:当你和业务部门沟通时,他们会说"不,我们必须这样做。别无选择。我们必须推进项目,并承担与第三方相关的所有风险和责任。" 这确实是个难题,因为你要说服那些显然对引入第三方有着既得利益的业务部门,让他们意识到潜在的风险。实际上,我们确实遇到过类似情况,这主要取决于企业的风险承受能力。当然,多数企业更倾向于内部处理而非外包。但我们也看到,在某些情况下,引入外部资源同样能满足相同需求。 当然,挑战在于——这也是多数人选择第三方服务的原因——他们本应是该领域的专家,你自然期待他们更高效、更专业,毕竟他们日复一日深耕于此。 但我们发现,企业很少会拒绝业务需求——这才是决定是否将业务内部化的核心驱动力。因此,最终取决于企业的风险承受能力以及与更广泛业务伙伴的关系。
艾米·特威德:明白了。感谢您的提问。好的,继续下一题。那么,情境评估与基于PCF领域的评估有何区别?阿拉斯泰尔·帕尔:啊,这位提问者眼力真好。情境评估本质上是考察第三方相关的"谁、什么、何处、为何、如何"——他们是谁?在做什么? 他们如何支持你们?这并非基于风险领域的提问,也无关联领域。重点在于——且没有标准答案——获取足够信息来勾勒他们的身份、业务性质及我们应采取的接触方式。 因此我们着重进行情境评估,再将这些数据与各类风险领域进行关联分析。政策与控制框架(PCF)的解读往往取决于具体业务场景——通过审视企业的各项控制措施、流程及政策,进而关联分析:该情境下第三方为我们提供了哪些服务?是否意味着我们需要关注某些风险? 比如接待处人员负责清洁鱼缸却从未进入办公区域,你自然不必过分关注其办公场所的物理安全态势。关键在于始终把握情境本质。
艾米·特威德:太棒了。感谢提问。好的,我们这里还有几个问题。我知道现在快到整点时间了,只剩六分钟左右。所以如果还有问题,请现在提出。 接下来这个问题:如果公司处于成熟度第二阶段,达到A4阶段需要多长时间?阿拉斯泰尔·帕尔:这是个好问题。乔,你是我们成熟度评估的专家。乔·托利:当然没问题。确实是个好问题。嗯...很难说。 根据我们至今的成熟度评估经验,可能是企业处于健康的第二级,但要达到第四级需要真正优化某些环节。也可能是组织已有成熟项目,却因基础环节缺失导致成熟度大幅下滑。 我认为很难给出具体时间,但通常12个月内至少能提升一个成熟度等级。当然这取决于推动提升的要素数量,以及支持此类评估的资源投入。我们开展的成熟度评估会输出清晰的二进制要素清单,并附带各要素所需工作量的预估。 因此,参与此类成熟度评估或许是个好主意——这样您就能了解我们关注哪些要素能推动成熟度提升。当然,我们也能据此为您提供相当精确的预估:成熟度较高的组织通常需要多长时间才能达到目标水平。
艾米·特威德:很好。谢谢你,乔。好的,还有几个问题提交过来了。所以,你刚才提到与业务部门沟通。嗯,这位提问者认同这个观点,但问题是:你需要向业务相关方提供多详细的信息,才能让他们做出明智的决策?
阿拉斯泰尔·帕尔:是的。这确实是个棘手的问题,因为业务方在某些方面依赖你作为领域专家。我们常看到这样的流程:第三方风险管理团队向业务负责人提供一些见解和专业指导后,就要求对方接受或拒绝并把决策权交还给他们——这不太公平,毕竟业务方并非领域专家。 第三方项目团队应当向业务负责人提供更明确的指导,说明相关问题及其预期处理方案。我们通常不建议向他们披露所有细节、风险和问题。我们的建议是:适度引导他们了解第三方情况,但不必完全放手。 让他们了解整体概览,提供指导建议,并在决策过程中全程协助。最终责任当然由他们承担,但无需让他们知晓每个风险和问题的细节。艾米·特威德:明白了。 谢谢你,阿拉斯泰尔。最后这个问题来自观众,我特别喜欢。他们希望进一步了解可用于第三方风险管理的其他KPI改进指标,以及如何最佳地追踪这些指标。
阿拉斯泰尔·帕尔:因此,在评估项目K时,需区分关键绩效指标(KPI)与关键风险指标(KRI)。若仅关注项目绩效表现,可依据资源配置设定预期层级。通常我们通过前期资源计算器来驱动KPI设定——抱歉,是确定KPI标准。 首先我们绘制高阶服务流程图,明确关键检查点和里程碑节点。在此基础上输入现有资产规模数据,进而定义有效的KPI指标。例如我们知道一级、二级、三级服务都需通过这些检查点和里程碑。 虽然无法预知每个环节的具体推进进度,但我们能评估现有自动化工具下团队的实际处理能力。 因此优质的KPI改进指标应聚焦于:如何提升第三方通过各检查点的数量。因为资源与能力通常无法超越第三方数量规模——这种情况极为罕见。 通常情况恰恰相反。因此我们期待看到的核心KPI改进指标包括:X家第三方在X天内完成评估流程——如何缩短周期?Y项风险——如何在风险容忍度范围内降低数量?如何减少日常必须接受的风险?这并非通过消除风险实现。 而是通过调整我们对可接受风险的界定标准。因此任何有效的KPI改进指标,都需依托现有资源和自动化工具,推动第三方供应商跨越高阶服务流程中的关键节点与门槛。
艾米·特威德:太棒了。谢谢阿拉斯泰尔。嗯,我想观众提问环节到此结束。阿拉斯泰尔 或乔,在我们结束今天的会议前,你们还有什么要补充的吗?阿拉斯泰尔·帕尔:没有,但感谢大家的聆听。乔·托利:是的,我已经说够了。谢谢。艾米·特威德:是的,我们非常感谢你们的专业见解。提醒一下,本次会议已录制,明天早晨会第一时间发送至各位邮箱。再次重申,若您有任何疑问,或想了解第三方风险管理的入门方法,欢迎发送邮件至[email protected]。请在领英和推特关注我们。 我们随时提供支持,并准备了大量优质网络研讨会和博客资源与您分享。感谢各位参与,无论身处何地,祝您余下时光愉快。感谢阿拉斯泰尔,感谢乔。
乔·托利:谢谢大家。祝大家今天愉快。
©2026 Mitratech, Inc. 保留所有权利。
©2026 Mitratech, Inc. 保留所有权利。