第三方风险管理(TPRM)
第三方风险管理(TPRM) 是什么?
第三方风险管理(TPRM)对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。
TPRM 涵盖组织依赖外部方(供应商、服务提供商、云平台、金融科技合作伙伴、第 n 方供应商)交付业务成果的所有关系。典型生命周期包括:依据固有风险分级、尽职调查(安全问卷、SOC 2、ISO 27001、现场审计)、合同保障(审计权、违规通知、数据条款)、持续监控(评级、威胁情报、合规证明)、事件处置和退出。金融领域(DORA、OCC、FFIEC)、医疗领域(HIPAA)和隐私法规(GDPR)的监管对 TPRM 的要求日益具体化。现代项目将 TPRM 与 ERM、采购、法务和网络运营整合,并特别关注集中度风险和供应链风险。
● 示例
- 01
对处理受监管数据的供应商执行更严格尽调的分级 TPRM 项目。
- 02
通过安全评级与 SOC 报告对关键 SaaS 提供商进行持续监控。
● 常见问题
第三方风险管理(TPRM) 是什么?
对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。 它属于网络安全的 合规与框架 分类。
第三方风险管理(TPRM) 是什么意思?
对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。
第三方风险管理(TPRM) 是如何工作的?
TPRM 涵盖组织依赖外部方(供应商、服务提供商、云平台、金融科技合作伙伴、第 n 方供应商)交付业务成果的所有关系。典型生命周期包括:依据固有风险分级、尽职调查(安全问卷、SOC 2、ISO 27001、现场审计)、合同保障(审计权、违规通知、数据条款)、持续监控(评级、威胁情报、合规证明)、事件处置和退出。金融领域(DORA、OCC、FFIEC)、医疗领域(HIPAA)和隐私法规(GDPR)的监管对 TPRM 的要求日益具体化。现代项目将 TPRM 与 ERM、采购、法务和网络运营整合,并特别关注集中度风险和供应链风险。
如何防御 第三方风险管理(TPRM)?
针对 第三方风险管理(TPRM) 的防御通常结合技术控制与运营实践,详见上方完整定义。
第三方风险管理(TPRM) 还有哪些其他名称?
常见的别称包括: TPRM, 第三方网络风险。
● 相关术语
- compliance№ 1199
供应商风险管理
TPRM 的子集,聚焦于评估和监督直接供应商,尤其关注其安全、隐私与运营韧性实践。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 383
企业风险管理(ERM)
面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
- compliance№ 1063
SOC 2
由 AICPA 制定的鉴证标准,由独立审计师依据 Trust Services Criteria 评估服务型组织的控制措施。
- compliance№ 557
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。
● 参见
- № 351DORA 条例