供应商风险管理
供应商风险管理 是什么?
供应商风险管理TPRM 的子集,聚焦于评估和监督直接供应商,尤其关注其安全、隐私与运营韧性实践。
供应商风险管理(VRM)是 TPRM 在直接合作供应商上的运营核心。通常包含供应商清单、固有风险分级(数据敏感性、关键性、访问范围)、合同前评估、合同义务、定期复评以及事件管理。常用工具包括安全问卷(SIG、CAIQ)、SOC 2 / ISO 27001 评审、安全评级以及现场或远程审计。VRM 通过降低集中度风险、约定违规通知条款以及核实供应商满足隐私、财务和合规要求,提升整体韧性。TPRM 范围更广(还涵盖第 n 方、合作伙伴、集团内实体),而 VRM 通常是采购侧最多日常活动发生的地方。
● 示例
- 01
对一级 SaaS 供应商每年执行 SIG Lite 问卷和 SOC 2 评审。
- 02
与云服务商每季度业务回顾,涵盖安全 KPI 与事件。
● 常见问题
供应商风险管理 是什么?
TPRM 的子集,聚焦于评估和监督直接供应商,尤其关注其安全、隐私与运营韧性实践。 它属于网络安全的 合规与框架 分类。
供应商风险管理 是什么意思?
TPRM 的子集,聚焦于评估和监督直接供应商,尤其关注其安全、隐私与运营韧性实践。
供应商风险管理 是如何工作的?
供应商风险管理(VRM)是 TPRM 在直接合作供应商上的运营核心。通常包含供应商清单、固有风险分级(数据敏感性、关键性、访问范围)、合同前评估、合同义务、定期复评以及事件管理。常用工具包括安全问卷(SIG、CAIQ)、SOC 2 / ISO 27001 评审、安全评级以及现场或远程审计。VRM 通过降低集中度风险、约定违规通知条款以及核实供应商满足隐私、财务和合规要求,提升整体韧性。TPRM 范围更广(还涵盖第 n 方、合作伙伴、集团内实体),而 VRM 通常是采购侧最多日常活动发生的地方。
如何防御 供应商风险管理?
针对 供应商风险管理 的防御通常结合技术控制与运营实践,详见上方完整定义。
供应商风险管理 还有哪些其他名称?
常见的别称包括: VRM, 供应商管理。
● 相关术语
- compliance№ 1144
第三方风险管理(TPRM)
对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 383
企业风险管理(ERM)
面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
- compliance№ 1063
SOC 2
由 AICPA 制定的鉴证标准,由独立审计师依据 Trust Services Criteria 评估服务型组织的控制措施。
- compliance№ 557
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。