今年，供應商風險管理(VRM)領(lǐng)域快速躋身熱門話題之列。好像無論轉(zhuǎn)到哪里，總有提供VRM解決方案的新公司冒頭。但正如安全行業(yè)中其他細分市場所見，VRM領(lǐng)域里的大多數(shù)供應商也用的是千篇一律的營銷潮詞。一家一家看過去，好像他們的產(chǎn)品功能特點都是相同的。想要區(qū)別出這些一窩蜂冒出來的新廠商還真挺難的。

[[236772]]

我們不難看出VRM的重要性。第三方給公司企業(yè)帶來的風險應作為任何策略性整體風險管理的不可分割的部分加以理解和妥善監(jiān)管。大多數(shù)公司企業(yè)懂得這一點，也期待能在不遠的將來解決該關(guān)鍵業(yè)務需求。于是，面對VRM市場上的各種王婆賣瓜，我們該怎么評估并區(qū)分不同的產(chǎn)品呢?

有7點可供參考：

1. 沒有通用這回事

雖然各種規(guī)定、標準和行業(yè)間在安全控制方法上確實有很大重合，但這種重合距離完全重疊還遠得很?；谒幮袠I(yè)、公司規(guī)模、地理位置、數(shù)據(jù)類型、電子訪問方式等眾多因素，在評估第三方帶來的風險時，公司企業(yè)考慮的重點各不相同。半導體行業(yè)的公司企業(yè)擔憂的地方，肯定與金融行業(yè)的不同。能源產(chǎn)業(yè)、醫(yī)療行業(yè)、政府部門等等各自有各自的考量。如果擺在你面前的VRM選項只有一套“通用”評估模式，不能導入專門解決你特定問題的自定義評估方法，那還是換一家看看吧。

2. 掃描不足

從外部掃描供應商的邊界可以為其整體安全態(tài)勢提供有用的洞見嗎?當然可以。但很遺憾，這種掃描本身存在不足。掃描無法告訴我們有關(guān)供應商人員、過程和策略的信息，也無法告訴我們“內(nèi)部”的日常是怎樣的，更無法告訴我們供應商是如何保護/毫不防護敏感信息的。而這些，全都是真正定義供應商安全項目在管理和緩解風險上表現(xiàn)的關(guān)鍵部分。

3. 指標

在受電子表格、電話和面談驅(qū)動的VRM世界里，標準難找毫不令人意外。我們或許能夠針對少數(shù)供應商收集數(shù)據(jù)，給出有關(guān)他們各自安全態(tài)勢的評估。但在供應商之間做比較?你想多了。跟蹤暴露出的問題/漏洞并及時加以解決?沒門兒。從集中式管理平臺內(nèi)部維持與供應商之間組織良好且有記錄的通信?不行。了解每家供應商的進展和各不同門類供應商每年的進步?想都不用想。條分縷析各有側(cè)重的多種不同報告形成全面風險評估?別再用老一套了。無法提供所有這些功能的VRM廠商?下一家下一家。

4. 基準

知道供應商給自家企業(yè)引入的風險固然很棒，但知道自身風險或供應商給自己帶來的風險相對于同樣地理位置、同個行業(yè)、相同公司規(guī)?；蚱渌嗤钠渌镜那闆r，不是更好?這可是VRM解決方案里面超級重要的一個方面。如果你的VRM提供商給不出基準，那還是考慮換一家吧。

5. 過程稱王

自動化VRM追求供應商風險評估過程自動化，摒除以往的電子表格、電話和面談方式。VRM應能提供可從單一集中式界面快捷管理的端到端自動化過程。當今時代，除此之外的都不過是古董級解決方案。

6. 別只告訴我哪兒出問題了

指出哪里出了問題只是個開始。建議怎么解決并提供全套無縫管理該過程的方法，才是自動化VRM的真正價值所在。以解決問題為中心的建議，以及全程監(jiān)管該解決過程所需的資源，是VRM解決方案的真正分水嶺。

7. 驅(qū)動決策

最終，公司企業(yè)需了解自身風險，以此了解為基礎(chǔ)，做出需采取哪些緩解措施的可行決策?？梢员患{入考慮的VRM提供商，必須是能驅(qū)動該決策過程，而不是對抗之的。

VRM市場玩家眾多是事實，市場噪音太大太混亂也是事實。話雖如此，依然有一些方法可供公司企業(yè)合理辨別各VRM產(chǎn)品，優(yōu)中選優(yōu)。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文