第三方风险管理框架:概述

没有一种方法能完美适用于所有组织,但一些常用的框架可作为可靠的起点。以下是您需要了解的内容。

Mitratech 员工
Mitratech 员工 八月19,2024 阅读时间12分钟
Decorative image

建立第三方风险管理计划是一个复杂的过程,涉及管理遍布多个大陆和司法管辖区的数百甚至数千家供应商。企业必须应对各类第三方风险,包括财务风险、网络安全风险、法律诉讼、绩效失效以及每个供应商或供货商可能引发的运营中断。随着企业将大量工作负载外包,构建全面的第三方风险管理计划变得比以往任何时候都更为关键。

虽然没有一种第三方风险管理方法能适用于所有组织,但一些常用框架提供了坚实的基础。这些框架包括美国国家标准与技术研究院(NIST)和国际标准化组织(ISO)制定的IT控制与供应链网络安全框架,以及与环境、社会和治理(ESG)等其他风险类型相匹配的框架。第三方风险管理政策指导组织基于这些框架构建、应用、管理和实施最佳实践。

什么是第三方风险管理框架?

第三方风险管理框架为组织提供了基于行业标准最佳实践构建TPRM计划的路线图。这些框架可作为TPRM计划的基础,并根据贵组织认为需要重点评估的风险类型,为第三方供应商和供货商提供基准控制要求。

TPRM框架通常分为安全类和非安全类两类:

  1. 第三方风险管理(TPRM)或供应链风险管理(SCRM)框架:这些框架旨在为您的项目开发提供基础架构,例如共享评估TPRM框架NIST 800-161标准
  2. 辅助信息安全框架:这些框架可补充供应商风险管理计划,或协助设计供应商风险评估问卷,例如NIST CSF v2.0ISO 27001和 ISO 27036
  3. 非IT与ESG框架:这些 框架涵盖更广泛的领域,侧重于非网络控制措施、ESG法规及政策。典型代表包括《企业可持续发展报告指令》(CSRD)和碳披露项目(CDP)。

为什么第三方风险管理框架如此重要?

第三方风险已成为企业风险管理中日益关键的环节。当今企业依赖着庞大的全球供应商网络,这使得它们容易受到从轻微到严重的各类中断影响。这些中断可能源于破产事件、地缘政治动荡或影响第三方数据泄露事件。

第三方风险管理(TPRM)与信息安全框架为致力于降低第三方关系风险的组织提供了宝贵的管控措施与指导。例如,共享评估(Shared Assessments)的TPRM框架覆盖了供应商风险管理的完整生命周期,为构建稳健的TPRM项目提供了全面指南。

诸如NIST 800-161、ISO 27036和共享评估等框架为制定供应商风险管理计划提供了坚实基础。信息安全框架如ISO 27001、NIST CSF和NIST 800-37则指导供应商风险评估流程,并协助创建问卷调查
),以精准评估企业的网络安全成熟度。

选择TPRM框架时的考量因素

每个框架都能为您的组织提供一定程度的控制力,以全面满足监管、风险管理和尽职调查目标。 许多组织选择仅采用NIST或ISO标准,并在制定计划时综合借鉴这些机构的多项框架和指导文件。例如,某组织可能以NIST 800-161为基础构建供应链风险管理计划,同时融合NIST 800-53要素、NIST CSF v2.0及NIST RMF框架,从而全面完善其计划及供应商评估方法。选择框架前,请务必考量本组织的具体需求与要求。

了解您的风险格局

在实施第三方风险管理框架时,企业必须审视所涉风险的本质,并应对不断变化的商业、监管及法律环境。理解组织风险是为企业选择合适框架的第一步。这些风险类别包括(但不限于):

  • 网络安全与数据隐私风险
  • 市场/声誉
  • 财务
  • 法律与法规
  • 战略性
  • 技术
  • 人物/文化
  • 欺诈
  • 业务风险
  • 知识产权
  • 地缘政治
  • 环境、社会和治理

评估潜在运营影响

TPRM不仅关乎确保合作关系不会使组织面临不可承受的风险,更在于奖励那些通过自身实践降低组织风险的供应商。因此,选择正确的TPRM框架并理解其对外部供应商生态系统的影响至关重要。在选择框架构建TPRM计划时,请考虑以下因素:

  • 该框架如何与您现有的工作流程集成?
  • 该框架如何与贵组织整体的企业风险管理框架相衔接?
  • 该框架是否拥有或发布了可用的基准测试?
  • 该框架是否会频繁更新以应对不断演变的风险,例如网络安全风险、地缘政治变化以及法律环境的变化?
  • 是否存在高、中、低风险的标准定义?
  • 贵公司的客户采用哪些TPRM框架,并要求贵公司予以响应?
  • 文献中是否存在与TPRM框架相关的标准补救流程?
  • 是否需要考虑特定行业的监管要求?(例如金融机构或医疗保健提供者)
  • TPRM框架的采用范围有多广?即,它能否用于解决第四方风险问题?

在明确需要解决的具体业务问题后,需分别审视信息安全、供应链及非网络风险管理框架。共享评估(Shared Assessments)、NIST 800-161和ISO 27036可提供关键供应链风险管理(SCRM)与交易风险管理(TPRM)控制措施的具体范例,而NIST CSF等信息安全框架则能推动第三方风险管理流程的实施。

第三方风险管理框架概述

共享评估框架

共享评估风险与合规管理框架

共享评估机构已发布一套全面的TPRM最佳实践框架。该框架旨在帮助组织通过标准化控制措施建立、监控、优化并完善其TPRM项目。框架分为基础部分与流程部分两大板块:基础部分包含四个章节——导论、基础知识、共识建立及治理机制;流程部分则涵盖八大类工作,从外包分析与尽职调查持续监控均有涉及。

共享评估是少数专注于第三方风险的框架之一,而非涵盖供应链风险管理或组织信息安全等更广泛议题。但需缴纳会员费。

共享评估标准化信息收集问卷(SIG)

共享评估发布了一份标准化信息收集问卷,使组织能够开展第三方风险评估,该评估可轻松映射至ISO、HIPAA、NIST、GDPR和PCI DSS等标准。该工具包含管理功能,支持选择预定义问题、实施检查清单,并提供向第三方供应商索取文件的指导。SIG对刚启动TPRM计划的组织具有显著价值。

美国国家标准与技术研究院第三方风险管理框架

美国国家标准与技术研究院供应链风险管理框架(NIST 800-161)

NIST 800-161 是对NIST 800-53 第 5 版修订版的 补充指南,专门 针对帮助美国联邦实体管理供应链风险。尽管主要面向联邦实体,NIST 800-161 对私营部门组织设计技术风险管理(TPRM)或供应链风险管理(SCRM)计划同样具有极高实用价值。 该指南将供应链风险管理流程划分为四个阶段:框架构建、风险评估、响应措施与恢复机制。涵盖19类控制措施,从意识培训到系统服务采购均有涉及。

尽管供应链风险管理与第三方风险管理存在差异,但二者存在显著重叠。参照NIST 800-161指南
) 可为构建高效的第三方风险管理(TPRM)体系提供绝佳基础。该指南特别适用于拥有复杂供应链体系且需实施高级供应链风险管理(SCRM)的大型跨国企业。

美国国家标准与技术研究院风险管理框架(RMF)800-37 修订版2

美国国家标准与技术研究院(NIST)还发布了一套全面的风险管理框架,使各行业企业能够无缝整合第三方风险管理与信息安全管理。NIST 800-37为企业级风险管理提供了坚实基础,涵盖涉及第三方及第四方的各类风险。在考量供应链风险相关问题时,NIST风险管理框架(RMF)第2.8节尤为值得关注。 在制定新第三方供应商入驻的风险缓解策略时,NIST 800-37标准尤为实用。

NIST 网络安全框架 (CSF) 2.0

在设计供应商问卷时,NIST网络安全框架中概述的最佳实践具有不可估量的价值。该最佳实践库提供了一套标准,使所有参与者在讨论问题时拥有相同的参考模型。 NIST CSF被公认为构建网络安全计划的黄金标准。在评估过程中,它能帮助您精准衡量潜在供应商的网络风险状况。对于高度关注数据隐私或合规要求的组织而言,基于NIST CSF控制措施构建供应商风险问卷尤为有效。

ISO 贸易风险管理框架

ISO 27001 及 27002

ISO 27001和27002标准规定了建立、实施、维护和持续改进信息安全管理体系的要求。ISO要求远不止于单纯的第三方风险管理,其中包含大量关于供应商风险管理的条款,将其纳入更广泛的信息安全计划体系。 在设计第三方风险管理(TPRM)计划时,建议参考ISO标准中涉及第三方风险的相关条款,并考虑将更广泛的信息安全控制措施应用于供应商风险评估流程。

ISO 27036-2

若贵组织涉及国际第三方供应商及供货商,采用国际标准化组织(ISO)针对供应商风险管理(TPRM)及信息安全制定的流程亦是理想选择。ISO 27036-2标准明确规定了在定义、实施、运营、监控、审查、维护及优化供应商与采购方关系过程中,需遵循的基础信息安全要求。

本标准对第三方风险管理具有特别重要性,其要求涵盖产品与服务的采购及供应环节。第6章和第7章规定了适用于供应商关系管理各阶段的基础性与高级信息安全要求,涵盖供应商关系生命周期中多个环节。标准内容包括安保人员、清洁工、配送服务、设备维护等专业物理风险,以及涉及云服务、数据驻留地、共享合规流程等更标准化的要求。 ISO 27036-2旨在管理整个业务关系生命周期,涵盖:

  • 启动阶段——范围界定、商业案例/成本效益分析、内部处理与外包方案的比较,以及混合模式(如协同外包)等变体方案的评估。
  • 需求定义,包括信息安全需求
  • 采购,包括选择、评估供应商以及与供应商签订合同
  • 向供应安排的过渡或实施,实施期间存在加剧的风险
  • 运营工作涵盖常规关系管理、合规性管理、事件与变更管理、监控等多个方面。
  • 刷新是续签合约的可选阶段,可能涉及条款与条件的复核、绩效评估、问题排查及工作流程优化。
  • 终止与退出

环境、社会与治理框架

ESG框架通过提供衡量和报告可持续性及道德影响的标准化蓝图,指导组织披露其环境影响、社会实践和治理结构方面的数据。 这些框架由非政府组织、政府机构及商业团体等主体制定,明确了需追踪的指标、报告格式及披露频率。它们对统一供应链中的ESG报告至关重要,使投资者、监管机构和消费者等利益相关方能够评估和比较各组织的绩效表现。部分框架允许自愿性灵活性,而另一些则属政府强制要求,需严格遵守。

碳信息披露项目(CDP)

CDP是一个基准框架,专注于环境治理与政策、风险与机遇管理以及环境目标。该框架提供关于气候变化、水资源和森林的详细问卷,由认证合作伙伴进行评分。对于希望提升环境实践透明度和问责制的组织而言,CDP具有特别重要的价值。

全球报告倡议组织(GRI)

全球报告倡议组织(GRI)是最广泛使用的自愿性ESG框架之一。它为经济、环境和社会议题的报告提供了全面标准。GRI的模块化结构使组织能够选择与其重要议题最相关的标准,使其成为灵活且广泛适用的框架。

企业可持续发展报告指令(CSRD)

欧盟可持续性报告披露条例(CSRD)
是由欧盟制定的一套监管框架。该条例要求企业就各类可持续性议题进行披露,涵盖环境与社会问题。CSRD强调双重重要性原则,要求企业在报告中同时考量财务影响与社会影响。该框架对在欧盟运营的企业具有强制效力,预计将影响全球数千家企业。

关于TPRM框架的最终思考

遵循NIST、ISO、共享评估及其他框架提供商的指导,可大幅减少设计TPRM计划所需的手动工作量。 NIST 800-161与ISO 27036-2框架为TPRM和SCRM计划中普遍采用的控制措施提供了宝贵参考。其他框架如NIST CSF、ISO 27001及NIST 800-37在设计供应商风险评估流程时极具价值,而CDP、GRI等标准则侧重于供应链中的ESG报告。

下一步:通过Prevalent实现自动化

主流第三方风险管理平台可简化高效精简的TPRM项目构建流程。该平台助您快速收集供应商管控信息,涵盖IT安全、合规性、绩效表现、合同遵守、业务连续性、财务状况、声誉、道德规范、反贿赂腐败、ESG、多元化等维度。您可将这些发现与持续监控洞察关联,从而验证管控措施的有效性。

Prevalent通过多种框架和法规实现供应商风险评估的自动化与标准化,并在第三方风险生命周期中提供风险监控与整改管理。该平台预置的工作流和问卷均与行业标准对接,能显著加快TPRM计划的建立与管理进程,并大幅提升成本效益。此外,其供应商情报网络可按需提供数千家企业的完整标准化风险报告。

立即联系Prevalent获取免费成熟度评估,了解您当前的TPRM政策表现如何,或申请演示Prevalent TPRM平台。

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。