以下是评估供应商风险管理解决方案时需要考虑的7个关键点似乎无论您走到哪里,总有新公司提供VRM解决方案。但正如在安全行业的其他部分所看到的那样,VRM领域的大多数供应商也在使用千篇一律的营销流行语。一个一个看,好像他们的产品特点是一样的。这些蜂拥而至的新厂商,真的很难分辨。不难看出VRM的重要性。第三方对企业构成的风险应作为任何战略性整体风险管理的组成部分加以理解和适当监控。大多数公司都了解这一点,并希望能够在不久的将来解决这一关键业务需求。那么,面对VRM市场上形形色色的流浪者,我们应该如何评价和区分不同的产品呢?有7点可供参考:1.没有万能的东西,虽然各种法规、标准和行业在安全控制方式上确实有相当大的重叠,但这种重叠远不是完全重叠。基于行业、公司规模、地理位置、数据类型、电子访问方式等诸多因素,在评估第三方带来的风险时,公司和企业考虑不同的优先级。半导体行业企业的担忧,肯定与金融行业的企业有所不同。能源行业、医疗行业、政府部门等各有各的考虑。如果你面前的VRM选项只有一套“通用”的评估模型,而你无法导入专门解决你的特定问题的自定义评估方法,那么再看看另一个。2.扫描不足从外部扫描供应商的边界能否提供对其整体安全状况的有用洞察?当然可以。不幸的是,这种扫描本身是不够的。扫描无法告诉我们有关供应商的人员、流程、政策、日常“内部”发生的事情或供应商如何保护/不保护敏感信息的任何信息。这些都是关键部分,它们真正定义了供应商的安全程序在管理和降低风险方面的表现。3.指标在由电子表格、电话和访谈驱动的VRM世界中,很难找到指标也就不足为奇了。我们可能能够收集少数供应商的数据,以评估他们各自的安全状况。但是比较供应商?你想多了跟踪出现的问题/漏洞并及时解决?决不。在集中管理平台内与供应商保持组织良好且记录在案的沟通?不是。知道每个供应商的进展情况,了解不同品类的供应商每年的进展情况?无需考虑。剖析多个不同侧重点的不同报告,形成全面的风险评估?停止使用相同的旧的。无法提供所有这些功能的VRM供应商?下一个。4.基准了解您的供应商给您的业务带来的风险固然很好,但了解您自己的风险或您的供应商给您带来的相对于相同地域、行业、公司规模或其他方面的其他公司的风险,不是更好吗?这是VRM解决方案的一个非常重要的方面。如果您的VRM提供商无法提供基准,请考虑另一个。5、流程为王VRM追求供应商风险评估流程的自动化,淘汰以往的电子表格、电话、面谈等方式。VRM应该提供端到端的自动化,可以从一个集中的界面轻松管理。在这个时代,任何东西都不过是古董级的解决方案。6.不要只告诉我哪里出了问题指出哪里出了问题仅仅是个开始。建议如何解决它并提供一整套方法来无缝管理流程是自动化VRM的真正价值所在。提案的问题解决重点,以及从头到尾监督解决过程所需的资源,是VRM解决方案的真正分水岭。7.推动决策最终,组织需要了解他们的风险,并将这些知识用作就采取何种缓解措施做出可操作决策的基础。要考虑的是,VRM供应商必须是推动这一决策过程的供应商,而不是反对它的供应商。VRM市场玩家众多是事实,市场过于嘈杂混乱也是事实。话虽如此,企业还是有一些方法可以合理地识别各种VRM产品并选择最佳的。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
