不管企業(yè)規(guī)模大小，其在開展生產(chǎn)經(jīng)營(yíng)活動(dòng)的過(guò)程中，總是存在著和第三方機(jī)構(gòu)（人員）發(fā)生業(yè)務(wù)往來(lái)的交互過(guò)程，這意味著每個(gè)企業(yè)都會(huì)面臨第三方的風(fēng)險(xiǎn)威脅，而與之對(duì)應(yīng)的第三方風(fēng)險(xiǎn)管理（Third Party Risk Management，簡(jiǎn)稱TPRM），就是要了解并管理好第三方合作機(jī)構(gòu)可能給企業(yè)本身帶來(lái)的負(fù)面影響，并采取積極主動(dòng)的措施，應(yīng)對(duì)可能由此產(chǎn)生的風(fēng)險(xiǎn)損失。

第三方風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的過(guò)程，旨在全面評(píng)估、監(jiān)控和管理來(lái)自外部機(jī)構(gòu)合作中引入的安全風(fēng)險(xiǎn)。對(duì)于企業(yè)組織而言，積極部署TPRM工具對(duì)于降低運(yùn)營(yíng)風(fēng)險(xiǎn)、防止?jié)撛诘呢?cái)務(wù)損失至關(guān)重要，不僅可以大大降低組織的安全合規(guī)成本，提高運(yùn)營(yíng)效率，還能夠有效增強(qiáng)對(duì)未知安全風(fēng)險(xiǎn)的應(yīng)對(duì)能力。本文收集整理了目前應(yīng)用較廣泛的10款第三方風(fēng)險(xiǎn)管理工具，并對(duì)其應(yīng)用特點(diǎn)進(jìn)行了分析：

01、OneTrust Third-Party Risk Management

OneTrust公司成立于2016年，其推出的OneTrust Third-Party Risk Management工具被廣泛認(rèn)為是注重合規(guī)企業(yè)的最佳TPRM解決方案之一，可以幫助企業(yè)組織專業(yè)評(píng)估客戶、員工和供應(yīng)商的數(shù)據(jù)傳輸是否安全。

在OneTrust官方網(wǎng)站上，全面提供隱私影響評(píng)估、數(shù)據(jù)庫(kù)存映射、補(bǔ)救建議和日常審計(jì)服務(wù)，其可用性、可訪問(wèn)性、技術(shù)支持質(zhì)量和自動(dòng)化程度等均受到用戶的好評(píng)。OneTrust也是少數(shù)可以提供免費(fèi)試用版TPRM解決方案的服務(wù)商。

主要功能與特點(diǎn):

• 統(tǒng)一的第三方關(guān)系清單；
• 強(qiáng)大的風(fēng)險(xiǎn)洞察和分析引擎；
• 智能導(dǎo)入所有的業(yè)務(wù)工作流；
• 可以與其他OneTrust安全解決方案和第三方數(shù)據(jù)源集成；
• 提供AI自動(dòng)完成技術(shù)，以便更快地完成風(fēng)險(xiǎn)識(shí)別與分析；
• 工作流可靈活配置，遵循直觀的假設(shè)分析邏輯。

不足：

• OneTrust的風(fēng)險(xiǎn)修補(bǔ)功能還不完善，存在較多限制；
• 在風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)價(jià)和高級(jí)分析功能方面表現(xiàn)一般；
• 原生集成方面有待改進(jìn)。

傳送門：https://www.onetrust.com/platform/third-party-risk/

02、Prevalent TPRM平臺(tái)

Prevalent公司成立于2004年，通過(guò)Prevalent TPRM平臺(tái)為客戶提供完整的第三方風(fēng)險(xiǎn)管理解決方案，功能包括固有風(fēng)險(xiǎn)評(píng)分、流程導(dǎo)入、供應(yīng)商風(fēng)險(xiǎn)評(píng)估和監(jiān)控等。借助Prevalent的檢測(cè)與分析能力，組織可以選擇出可信賴的第三方供應(yīng)商，從源頭降低第三方風(fēng)險(xiǎn)管理的成本、復(fù)雜性和危害。

用戶對(duì)Prevalent的易于集成和部署、風(fēng)險(xiǎn)概況管理和技術(shù)支持給予了好評(píng)。對(duì)于希望由TPRM軟件轉(zhuǎn)向全面管理服務(wù)和強(qiáng)大客戶支持的買家來(lái)說(shuō)，它也是最佳選擇之一。

主要功能與特點(diǎn)：

• 自動(dòng)化風(fēng)險(xiǎn)評(píng)估和持續(xù)風(fēng)險(xiǎn)監(jiān)控；
• 具有供應(yīng)商情報(bào)收集網(wǎng)絡(luò)，可實(shí)時(shí)訪問(wèn)數(shù)千家公司的完整風(fēng)險(xiǎn)報(bào)告；
• 可用于集中分發(fā)和管理RFP和RFI的RFx Essentials；
• 可對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)分，并提供糾正措施和盡職調(diào)查方面的規(guī)范指導(dǎo)；
• 提供了強(qiáng)大的專業(yè)托管服務(wù)。

不足：

• 目前只提供基礎(chǔ)性的通用風(fēng)險(xiǎn)評(píng)分功能；
• 定制化支持不足，大多數(shù)定制只能通過(guò)供應(yīng)商進(jìn)行；
• 用戶交互界面不夠直觀，交互體驗(yàn)不足。

傳送門：https://www.prevalent.net/use-cases/third-party-risk-management/

03、Venminder

Venminder成立于2003年，是一家SaaS化第三方風(fēng)險(xiǎn)管理服務(wù)的專業(yè)供應(yīng)商，通過(guò)其推出的風(fēng)險(xiǎn)評(píng)估、盡職調(diào)查要求、問(wèn)卷調(diào)查、SLA管理和供應(yīng)商導(dǎo)入等服務(wù)，用戶可以有效評(píng)估供應(yīng)商的安全狀態(tài)、SOC報(bào)告、合同、財(cái)務(wù)、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)等風(fēng)險(xiǎn)情況。

Venminder會(huì)為每一位用戶分配一位關(guān)系經(jīng)理，以提供貼心的客戶導(dǎo)入。導(dǎo)入后，該公司繼續(xù)為客戶提供靈活的支持方式與時(shí)間，包括電子郵件、電話和聊天等。

主要功能與特點(diǎn)：

• 可定制的風(fēng)險(xiǎn)評(píng)估，擁有大量通用模板和進(jìn)度監(jiān)控；
• 帶有供應(yīng)商記分跟蹤卡，可提供完善的監(jiān)督管理功能；
• 提供基于時(shí)間點(diǎn)的風(fēng)險(xiǎn)概況創(chuàng)建；
• 集成龐大的風(fēng)險(xiǎn)知識(shí)庫(kù)，提供免費(fèi)的學(xué)習(xí)資源、在線研討服務(wù)；
• 所有方案都提供無(wú)限制的用戶訪問(wèn)，并提供菜單式服務(wù)和功能，易于擴(kuò)展和調(diào)整，可滿足客戶的具體需求。

不足：

• 國(guó)際化程度有限，幾乎只面向北美客戶；
• 主要專注于金融客戶，其他領(lǐng)域的行業(yè)積累和經(jīng)驗(yàn)有限。

傳送門：https://www.venminder.com/

04、BitSight Third-Party Risk Management

BitSight是目前全球主流的TPRM解決方案提供商之一，以供應(yīng)商情報(bào)網(wǎng)絡(luò)而聞名。基于復(fù)雜的算法和長(zhǎng)期性安全評(píng)級(jí)，其推出的BitSight Third-Party Risk Management和Security Ratings Platform可以幫助組織有效管理第三方風(fēng)險(xiǎn)。BitSight還集成ServiceNow和ProcessUnity等其他VRM工具，為用戶提供全面的TPRM完整解決方案。

主要功能和特點(diǎn)：

• 可以自動(dòng)導(dǎo)入風(fēng)險(xiǎn)評(píng)估結(jié)果；
• 通過(guò)數(shù)據(jù)驅(qū)動(dòng)的供應(yīng)商響應(yīng)驗(yàn)證策略；
• 用于供應(yīng)商評(píng)估優(yōu)先級(jí)確定的可定制工作流；
• BitSight可以與大多數(shù)其他TPRM解決方的集成并兼容；
• 客戶和非客戶都能獲得免費(fèi)的網(wǎng)絡(luò)安全報(bào)告，報(bào)告內(nèi)容很全面。

不足：

• 客戶支持代表數(shù)量?jī)?yōu)先，與用戶的溝通和聯(lián)系有限；
• 當(dāng)網(wǎng)絡(luò)中的問(wèn)題得到解決時(shí)，不容易過(guò)濾數(shù)據(jù)結(jié)果或更新報(bào)告結(jié)果。

傳送門：https://www.bitsight.com/third-party-risk-management

05、ProcessUnity Third-Party Risk Management

PocessUnity Third-Party Risk ManagementSaaS是一款專業(yè)的第三方風(fēng)險(xiǎn)管理解決方案，可以幫助企業(yè)識(shí)別、管理和補(bǔ)救第三方合作時(shí)的風(fēng)險(xiǎn)問(wèn)題。該工具還包括定期的供應(yīng)商安全能力評(píng)審，以確保組織的安全態(tài)勢(shì)繼續(xù)良好。

ProcessUnity不斷豐富的自動(dòng)化能力給用戶留下了特別深的印象，該工具可以為組織評(píng)估風(fēng)險(xiǎn)、證據(jù)收集及其他風(fēng)險(xiǎn)管理工作定制自動(dòng)化的工作流程。

主要功能和特點(diǎn)：

• 可以自動(dòng)評(píng)估風(fēng)險(xiǎn)范圍和證據(jù)收集；
• 自動(dòng)化和無(wú)代碼功能使這款工具可靈活定制；
• 報(bào)告數(shù)據(jù)簡(jiǎn)潔明了，能讓所有利益相關(guān)者都易于理解；
• 方案支持從采購(gòu)到合同管理的整個(gè)TPRM生命周期。

不足：

• 被認(rèn)為是價(jià)昂貴的TPRM解決方案；
• 報(bào)告中的可視化功能有限。

傳送門：https://www.processunity.com/third-party-risk-management/

06、Archer Third-Party Governance

Archer Third-Party Governance是一款企業(yè)級(jí)風(fēng)險(xiǎn)量化軟件，主要用于幫助企業(yè)匯總第三方風(fēng)險(xiǎn)，并保護(hù)組織免受破壞。Archer的關(guān)鍵功能包括可定制的控制和風(fēng)險(xiǎn)指標(biāo)、風(fēng)險(xiǎn)概況指標(biāo)以及用于比較風(fēng)險(xiǎn)后果的高級(jí)可視化工具。

主要功能和特點(diǎn)：

• 可定制的風(fēng)險(xiǎn)報(bào)告和監(jiān)控；
• 定量和定性相結(jié)合的風(fēng)險(xiǎn)分析；
• 可定制的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)；
• 適合被高度監(jiān)管的行業(yè)用戶使用；
• 基于AI的功能其更容易快速評(píng)估第三方資產(chǎn)風(fēng)險(xiǎn)。

不足：

• 該解決方案只能與其他Archer解決方案結(jié)合；
• Archer的定價(jià)和授權(quán)模式有些復(fù)雜；
• 頻繁收購(gòu)和變動(dòng)，會(huì)對(duì)方案的長(zhǎng)期發(fā)展方向和穩(wěn)定性帶來(lái)一定影響。

傳送門：https://www.archerirm.com/third-party-governance

07、SecurityScorecard Platform

SecurityScorecard是最早進(jìn)入TPRM領(lǐng)域的服務(wù)商之一，擁有專利性的風(fēng)險(xiǎn)評(píng)分技術(shù)，客戶數(shù)量已超過(guò)1000家。方案可以幫助組織分析其數(shù)字化應(yīng)用的足跡，并通過(guò)對(duì)應(yīng)到供應(yīng)商網(wǎng)絡(luò)安全問(wèn)卷的即時(shí)風(fēng)險(xiǎn)評(píng)分來(lái)進(jìn)行第三方風(fēng)險(xiǎn)管理。SecurityScorecard平臺(tái)易于部署，能夠處理面向公眾的基礎(chǔ)設(shè)施風(fēng)險(xiǎn)。該工具的布局及其中央儀表板易于導(dǎo)航，大量圖形化元素的使用讓其成為目前最受歡迎的TPRM可視化解決方案之一。

主要功能和特點(diǎn)：

• 可以開展持續(xù)監(jiān)控和全球IP掃描；
• 支持調(diào)查問(wèn)卷的自動(dòng)發(fā)送和回復(fù)；
• 提供基于規(guī)則的網(wǎng)絡(luò)安全響應(yīng)工具；
• 強(qiáng)大的用戶界面和可視化功能；
• 為潛在買家提供透明定價(jià)模式和免費(fèi)試用版。

不足：

• 該工具主要側(cè)重于檢測(cè)，風(fēng)險(xiǎn)補(bǔ)救和事件響應(yīng)功能有限；
• 對(duì)客戶的服務(wù)支持有時(shí)會(huì)滯后；
• 風(fēng)險(xiǎn)報(bào)告功能比較有限。

傳送門：https://securityscorecard.com/solutions/third-party-risk-management/

08、Aravo for Third Party Management

Aravo成立于2000年，提供基于SaaS的供應(yīng)商信息管理（SIM）和TPRM技術(shù)。Aravo for Third Party Management工具可以幫助用戶更好地管理新供應(yīng)商導(dǎo)入、風(fēng)險(xiǎn)評(píng)估自動(dòng)化和盡職調(diào)查。該解決方案提供了許多預(yù)配置的工作流、評(píng)估、指示板和報(bào)告，同時(shí)也可以根據(jù)每家企業(yè)的不同要求來(lái)配置這些功能。

主要功能和特點(diǎn)：

• 自動(dòng)化風(fēng)險(xiǎn)評(píng)估和供應(yīng)商導(dǎo)入；
• 基于動(dòng)態(tài)調(diào)查的第三方風(fēng)險(xiǎn)評(píng)分；
• 完善的第三方情報(bào)網(wǎng)絡(luò)；
• 可以對(duì)風(fēng)險(xiǎn)問(wèn)題的處置情況進(jìn)行跟蹤；
• 可以為反賄賂、反腐敗、數(shù)據(jù)隱私和信息安全要求提供了專門的功能；
• 通過(guò)創(chuàng)新的交換中心和客戶社區(qū)，提供互動(dòng)式客戶體驗(yàn)；
• 預(yù)配置應(yīng)用程序和原生內(nèi)容集成很強(qiáng)大，且高度可用。

不足：

• 公司已基本上從開發(fā)TPRM轉(zhuǎn)向關(guān)注業(yè)務(wù)彈性；
• 許多功能只能通過(guò)第三方合作伙伴或需要額外付費(fèi)的附加組件才能獲得；
• 定價(jià)模式有些復(fù)雜。

傳送門：https://aravo.com/products/third-party-risk-management/

09、Panorays

Panorays是一款網(wǎng)絡(luò)安全解決方案，也可以為第三方風(fēng)險(xiǎn)管理和補(bǔ)救提供自動(dòng)化功能。Panorays的策略讓客戶更清楚的了解風(fēng)險(xiǎn)，尤其能夠滿足GDPR和HIPAA等合規(guī)標(biāo)準(zhǔn)。Panorays工具易于部署和集中式管理，它還有一個(gè)新穎直觀的用戶界面，并注重為客戶提供服務(wù)支持。

主要功能和特點(diǎn)：

• 具有供應(yīng)商安全問(wèn)卷的預(yù)構(gòu)建模板；
• 提供外部攻擊面監(jiān)控和評(píng)估；
• 開箱即用的報(bào)告；
• 產(chǎn)品不斷完善，不斷接受客戶反饋，有強(qiáng)大的發(fā)展路線圖；
• 用戶對(duì)規(guī)劃、評(píng)估和軟件實(shí)施方面的客戶支持的質(zhì)量和一致性給予了好評(píng)。

不足：

• 連接件和集成功能比較有限；
• 風(fēng)險(xiǎn)報(bào)告還需要改進(jìn)，尤其是應(yīng)添加更多的自助元素；
• 資產(chǎn)掃描功能有限。

傳送門：https://panorays.com/

10、Diligent ThirdPartyBond

Diligent ThirdPartyBond解決方案可以幫助組織進(jìn)行端到端的第三方風(fēng)險(xiǎn)管理，并提供供應(yīng)商導(dǎo)入、證據(jù)自動(dòng)收集和評(píng)估調(diào)查等資源。ThirdPartyBond還可以跟蹤服務(wù)級(jí)別協(xié)議（SLA），并為高級(jí)管理層提供具體的風(fēng)險(xiǎn)報(bào)告。它還提供一些最佳的報(bào)告和可視化功能，包括細(xì)粒度拖放式儀表板、交互式故事板和各種預(yù)構(gòu)建報(bào)告。

主要功能和特點(diǎn)：

• 集中式清點(diǎn)和批量導(dǎo)入第三方；
• 基于風(fēng)險(xiǎn)的控制評(píng)估；
• KPI和KRI驅(qū)動(dòng)的報(bào)告；
• SLA績(jī)效監(jiān)控和合同管理；
• 自適應(yīng)供應(yīng)商調(diào)查和風(fēng)險(xiǎn)評(píng)分；
• 強(qiáng)大的風(fēng)險(xiǎn)分析被內(nèi)置到平臺(tái)中；
• 采用先進(jìn)的機(jī)器學(xué)習(xí)算法來(lái)預(yù)測(cè)控制故障。

不足：

• 僅擁有有限的可定制性；
• 服務(wù)價(jià)格并不便宜；
• Diligent功能的改動(dòng)需要通過(guò)腳本才能完成，這對(duì)非專業(yè)用戶來(lái)說(shuō)是挑戰(zhàn)。

傳送門：https://www.wegalvanize.com/vendor-risk-management/

參考鏈接：https://www.esecurityplanet.com/products/third-party-risk-management/