评估厂商风险管理方案应考虑哪些问题

厂商风险管理是今年的热门话题，并且提供风险管理方案的企业也在不断增多。正如安全领域中的其他市场一样，多数厂商都在使用同样的营销手段。每个厂商似乎都宣称可以提供其他厂商能提供的一切功能和特性。企业似乎很难评估不同的厂商。

厂商的风险管理是一种重要功能。第三方给企业带来的风险需要作为战略性整体风险管理方法的一个完整组成部分来理解和管理。多数企业都理解这一点，并且期望在不远的将来解决这种需要。那么在厂商风险管理阵地存在诸多迷惑情况下，企业如何理清思路，评估和区分不同的产品呢？笔者以为需考虑如下七个问题：

不存在适用于多企业的方案

在不同的规范、标准、行业之间存在很多相同的控制，但这种相同之处并不全面。企业要关注不同的问题，这依赖于行业、企业规模、地理位置、处理的数据类型、电子访问企业的类型，以及在企业评估第三方风险时的很多其他问题。

半导体行业的企业所关注的问题往往不同于金融。同样，能源、健康保健等行业的问题也各不相同。如果你正在考虑一种可以提供“以一当十”的厂商风险管理方案，但却不能导入企业的客户评估，不能真正解决企业期望和关注的问题，那么就应慎重考虑了。

扫描并不够

从外部扫描厂商的外围可以揭示企业总体安全状况的部分特征吗？当然可以，但是仅仅扫描是远远不够的。扫描不能告诉我们关于人员、过程及厂商的策略等信息，也不能提供厂商如何能够或不能保护敏感信息。而这些方面都是真正确定厂商的安全项目在管理和减轻风险时非常重要的问题。

衡量标准不容易

对于厂商的风险管理，要找到一套衡量标准并不容易。也许我们可以收集几个厂商的数据，并且对其安全状况做出个别的评估。

但要比较这些厂商也不容易。适时地跟踪已经确认的问题，并评估其解决方案？恐怕也没有太好的办法。从一个集中化的管理平台管理与厂商的通信？也不太容易。理解每家不同厂商的不同进展？建立总体的风险快照，以期望对一系列参数的不同报告进行分片或划分？

评测

理解厂商给企业带来的风险是有益的。但了解企业风险或厂商风险如何与企业的地理位置、行业、公司规模或其他参数进行比较有什么意义呢？对于任何厂商风险管理方案来说，这极端重要。如果厂商风险管理供应商并不能提供评测，这就等于告诉你应另请高明。

过程为王

自动化的厂商风险管理方案寻求取代打电话、采访、电子表等陈旧的厂商风险评估方法。任何可行的厂商风险管理方案都需要能提高一种端到端的自动过程，能通过一个集中化的界面快速而轻松地实施管理。在这个时代，其他的一切都是陈旧的。

仅指出错在哪里是不够的

指出哪里出错是个起点。但是，建议如何解决问题，并且提供一种从头到尾管理此过程的好方法，才是自动化的厂商风险管理方案的真正价值所在。

关于解决问题的建议正是区分不同厂商风险管理方案的真正重要特性。

支持决策

最终，企业需要理解其风险，并使用这种信息做出可行的修复决策。任何真正的厂商风险管理都需要能够促进而不是应对这种过程。

在厂商风险管理领域，确实存在相当数量的“选手”，而且这个领域在短时间内存在诸多混乱和噪音。虽如此，企业仍可以用很多方法去正确地评估和区分各种厂商风险管理方案。