今年,供应商风险管理(VRM)该领域迅速跻身热门话题之列。似乎无论你转到哪里,总有提供。VRM解决方案的新公司冒头。但正如安全行业其他细分市场所看到的,VRM该领域的大多数供应商也使用相同的营销趋势。一个接一个地看过去,好像他们的产品功能特点是一样的。很难区分这些新制造商。
不难看出VRM重要性。第三方给企业带来的风险应作为战略整体风险管理中不可分割的一部分进行理解和妥善监督。大多数公司都知道这一点,并期待着在不久的将来解决关键的业务需求。所以,面对它VRM如何评价和区分市场上各种王婆卖瓜的不同产品?
有7点可供参考:
1. 没有通用这回事
虽然各种规定、标准和行业之间的安全控制 *** 确实有很大的重叠,但这种重叠距离完全重叠得很远。基于行业、公司规模、地理位置、数据类型、电子访问模式等诸多因素,公司企业在评估第三方带来的风险时,应考虑不同的重点。半导体行业的公司和企业必须担心与金融行业不同的问题。能源行业、医疗行业、 *** 部门等都有自己的考虑。如果你在你面前VRM只有一套选项“通用”评估模式,不能引入自定义的评估 *** 来解决你的特定问题,那就换一个看看。
2. 扫描不足
从外部扫描供应商的边界可以为其整体安全状况提供有用的见解吗?当然可以。但不幸的是,这种扫描本身是不够的。扫描不能告诉我们供应商人员、流程和策略,也不能告诉我们“内部”我们不能告诉我们供应商如何保护/不保护敏感信息。这些都是真正定义供应商安全项目管理和风险缓解的关键部分。
3. 指标
由电子表格、 *** 和面试驱动VRM在这个世界上,很难找到标准并不奇怪。我们可以为少数供应商收集数据,并对他们各自的安全状况进行评估。但在供应商之间做一个比较?你想得太多了。跟踪暴露的问题/漏洞并及时解决它们?没有办法。从集中管理平台内部维护与供应商之间的良好组织和记录通信不好。了解每个供应商的进展和不同类别供应商的年度进展?不要考虑它。分析各种不同的报告,形成一个全面的风险评估?不要使用旧的。不能提供所有这些功能VRM制造商下一下一家。
4. 基准
知道供应商引入自己企业的风险很好,但与同一地理位置、同一行业、同一公司规模或其他同一公司相比,了解自己的风险或供应商给自己带来的风险不是更好吗?这是真的VRM超重要的解决方案方面。如果你的VRM如果提供商不能给出基准,更好考虑换一个。
5. 过程称王
自动化VRM追求供应商风险评估过程自动化,摒除以往的电子表格、 *** 和面谈方式。VRM它应该能够提供端到端自动化过程,可以快速管理单一集中界面。在当今时代,除此之外,它们只是古董解决方案。
6. 不要只告诉我出了什么问题。
指出问题只是一个开始。自动化是如何解决和提供 *** 无缝管理过程的建议VRM真正的价值。以解决问题为中心的建议和对解决过程所需资源的全过程监督是VRM真正的分水岭解决方案。
7. 驱动决策
最后,公司需要了解自己的风险,并在此基础上做出可行的缓解决策。可以考虑VRM提供商必须能够驱动决策过程,而不是对抗。
VRM很多市场玩家都是事实,市场噪音太大太混乱也是事实。尽管如此,公司和企业还是有一些合理区分各种 *** 的。VRM产品,优中选优。
【本文是51CTO专栏作者“”李少鹏“”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。