据mitratech.com报道,开展供应商风险评估已成为企业接入新供应商或授予第三方访问核心业务系统权限前的强制性环节,直接关系到整体网络安全防护能力。
供应商风险即企业自身风险
原文指出,供应商风险评估是第三方风险管理(TPRM)计划的关键组成部分。当企业依赖外部解决方案与服务时,必须清醒认知其潜在风险传导效应——“你的供应商的风险,就是你自己的风险”。这些风险涵盖网络安全、合规、运营连续性、数据隐私及财务稳定性等多个维度。
评估框架覆盖全生命周期
据原文报道,一套完整的供应商风险评估应贯穿准入、监控与退出全流程:在准入阶段识别关键风险点;在合作期间持续监控供应商的安全控制措施、政策执行情况与事件响应能力;在合同终止或关系变更时确保数据返还、系统权限回收与知识转移合规。Mitratech旗下Prevalent平台被明确列为支持该流程的AI驱动型第三方与供应商风险管理产品。
主流工具与能力聚焦三大方向
- Cyber & IT Risk Management(网络与IT风险管理):依托Alyne平台提供端到端威胁建模、控制差距分析与自动化验证;
- Third-Party & Vendor Risk Management(第三方与供应商风险管理):通过Prevalent实现风险评分、问卷自动化分发、证据收集与持续监控;
- Vendor Risk Assessment & Monitoring(供应商风险评估与监控):作为GRC解决方案中的独立用例,强调结构化评估模板、动态风险评级与审计就绪性支持。
行业实践凸显现实压力
原文数据显示,全球范围内约75%的企业尚未建立标准化、可审计的供应商风险评估流程,导致在监管审查(如GDPR、SOX、HIPAA)或第三方引发的数据泄露事件中处于被动地位。例如,2023年某大型医疗集团因上游IT服务商漏洞遭勒索攻击,间接暴露超200万患者记录,事后审计确认其未对供应商执行年度渗透测试与SOC 2 Type II合规验证。
这一趋势与中国监管环境形成呼应:2024年《网络产品安全与漏洞管理规定》明确要求关键信息基础设施运营者对供应商实施安全能力评估;2025年1月起施行的《信息安全技术 供应链安全要求》(GB/T 44691—2024)进一步将第三方风险评估纳入强制性合规动作,覆盖采购、开发、交付、运维各环节。同期,中国信通院《2025供应链安全白皮书》指出,国内制造业头部企业中仅38%已部署自动化供应商风险评估工具,多数仍依赖人工问卷与抽样检查,平均单次评估耗时达17个工作日,远超国际同行平均5.2天水平。
从全球实践看,除Mitratech外,OneTrust、LogicGate、BitSight等厂商亦在强化第三方风险模块;西门子、宝洁等跨国企业已将供应商风险评分纳入采购决策KPI,要求新准入IT服务商必须通过ISO 27001认证并接入实时安全遥测接口。
本文编译自海外媒体报道,由 SCI.AI 编辑团队整理发布。
