Entry № 1269
第三方风险管理(TPRM)
第三方风险管理(TPRM) 是什么?
第三方风险管理(TPRM)对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。
TPRM 涵盖组织依赖外部方(供应商、服务提供商、云平台、金融科技合作伙伴、第 n 方供应商)交付业务成果的所有关系。典型生命周期包括:依据固有风险分级、尽职调查(安全问卷、SOC 2、ISO 27001、现场审计)、合同保障(审计权、违规通知、数据条款)、持续监控(评级、威胁情报、合规证明)、事件处置和退出。金融领域(DORA、OCC、FFIEC)、医疗领域(HIPAA)和隐私法规(GDPR)的监管对 TPRM 的要求日益具体化。现代项目将 TPRM 与 ERM、采购、法务和网络运营整合,并特别关注集中度风险和供应链风险。
● 示例
- 01
对处理受监管数据的供应商执行更严格尽调的分级 TPRM 项目。
- 02
通过安全评级与 SOC 报告对关键 SaaS 提供商进行持续监控。
● 常见问题
第三方风险管理(TPRM) 是什么?
对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。 它属于网络安全的 合规与框架 分类。
第三方风险管理(TPRM) 是什么意思?
对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。
如何防御 第三方风险管理(TPRM)?
针对 第三方风险管理(TPRM) 的防御通常结合技术控制与运营实践,详见上方完整定义。
第三方风险管理(TPRM) 还有哪些其他名称?
常见的别称包括: TPRM, 第三方网络风险。