第三方风险管理是一个持续的过程,旨在全面评估、监控和管理来自外部机构合作中引入的安全风险。对于企业组织而言,积极部署TPRM工具对于降低运营风险、防止潜在的财务损失至关重要,不仅可以大大降低组织的安全合规成本,提高运营效率,还能够有效增强对未知安全风险的应对能力。本文收集整理了目前应用较广泛的10款第三方风险管理工具,并对其应用特点进行了分析:
01、OneTrust Third-Party Risk Management
OneTrust公司成立于2016年,其推出的OneTrust Third-Party Risk Management工具被广泛认为是注重合规企业的最佳TPRM解决方案之一,可以帮助企业组织专业评估客户、员工和供应商的数据传输是否安全。
在OneTrust官方网站上,全面提供隐私影响评估、数据库存映射、补救建议和日常审计服务,其可用性、可访问性、技术支持质量和自动化程度等均受到用户的好评。OneTrust也是少数可以提供免费试用版TPRM解决方案的服务商。
主要功能与特点:
- 统一的第三方关系清单;
- 强大的风险洞察和分析引擎;
- 智能导入所有的业务工作流;
- 可以与其他OneTrust安全解决方案和第三方数据源集成;
- 提供AI自动完成技术,以便更快地完成风险识别与分析;
- 工作流可灵活配置,遵循直观的假设分析逻辑。
不足:
- OneTrust的风险修补功能还不完善,存在较多限制;
- 在风险优先级评价和高级分析功能方面表现一般;
- 原生集成方面有待改进。
传送门:https://www.onetrust.com/platform/third-party-risk/
02、Prevalent TPRM平台
Prevalent公司成立于2004年,通过Prevalent TPRM平台为客户提供完整的第三方风险管理解决方案,功能包括固有风险评分、流程导入、供应商风险评估和监控等。借助Prevalent的检测与分析能力,组织可以选择出可信赖的第三方供应商,从源头降低第三方风险管理的成本、复杂性和危害。
用户对Prevalent的易于集成和部署、风险概况管理和技术支持给予了好评。对于希望由TPRM软件转向全面管理服务和强大客户支持的买家来说,它也是最佳选择之一。
主要功能与特点:
- 自动化风险评估和持续风险监控;
- 具有供应商情报收集网络,可实时访问数千家公司的完整风险报告;
- 可用于集中分发和管理RFP和RFI的RFx Essentials;
- 可对风险进行评分,并提供纠正措施和尽职调查方面的规范指导;
- 提供了强大的专业托管服务。
不足:
- 目前只提供基础性的通用风险评分功能;
- 定制化支持不足,大多数定制只能通过供应商进行;
- 用户交互界面不够直观,交互体验不足。
传送门:https://www.prevalent.net/use-cases/third-party-risk-management/
03、Venminder
Venminder成立于2003年,是一家SaaS化第三方风险管理服务的专业供应商,通过其推出的风险评估、尽职调查要求、问卷调查、SLA管理和供应商导入等服务,用户可以有效评估供应商的安全状态、SOC报告、合同、财务、业务连续性和灾难恢复等风险情况。
Venminder会为每一位用户分配一位关系经理,以提供贴心的客户导入。导入后,该公司继续为客户提供灵活的支持方式与时间,包括电子邮件、电话和聊天等。
主要功能与特点:
- 可定制的风险评估,拥有大量通用模板和进度监控;
- 带有供应商记分跟踪卡,可提供完善的监督管理功能;
- 提供基于时间点的风险概况创建;
- 集成庞大的风险知识库,提供免费的学习资源、在线研讨服务;
- 所有方案都提供无限制的用户访问,并提供菜单式服务和功能,易于扩展和调整,可满足客户的具体需求。
不足:
- 国际化程度有限,几乎只面向北美客户;
- 主要专注于金融客户,其他领域的行业积累和经验有限。
传送门:https://www.venminder.com/
04、BitSight Third-Party Risk Management
BitSight是目前全球主流的TPRM解决方案提供商之一,以供应商情报网络而闻名。基于复杂的算法和长期性安全评级,其推出的BitSight Third-Party Risk Management和Security Ratings Platform可以帮助组织有效管理第三方风险。BitSight还集成ServiceNow和ProcessUnity等其他VRM工具,为用户提供全面的TPRM完整解决方案。
主要功能和特点:
- 可以自动导入风险评估结果;
- 通过数据驱动的供应商响应验证策略;
- 用于供应商评估优先级确定的可定制工作流;
- BitSight可以与大多数其他TPRM解决方的集成并兼容;
- 客户和非客户都能获得免费的网络安全报告,报告内容很全面。
不足:
- 客户支持代表数量优先,与用户的沟通和联系有限;
- 当网络中的问题得到解决时,不容易过滤数据结果或更新报告结果。
传送门:https://www.bitsight.com/third-party-risk-management
05、ProcessUnity Third-Party Risk Management
PocessUnity Third-Party Risk ManagementSaaS是一款专业的第三方风险管理解决方案,可以帮助企业识别、管理和补救第三方合作时的风险问题。该工具还包括定期的供应商安全能力评审,以确保组织的安全态势继续良好。
ProcessUnity不断丰富的自动化能力给用户留下了特别深的印象,该工具可以为组织评估风险、证据收集及其他风险管理工作定制自动化的工作流程。
主要功能和特点:
- 可以自动评估风险范围和证据收集;
- 自动化和无代码功能使这款工具可灵活定制;
- 报告数据简洁明了,能让所有利益相关者都易于理解;
- 方案支持从采购到合同管理的整个TPRM生命周期。
不足:
- 被认为是价昂贵的TPRM解决方案;
- 报告中的可视化功能有限。
传送门:https://www.processunity.com/third-party-risk-management/
06、Archer Third-Party Governance
Archer Third-Party Governance是一款企业级风险量化软件,主要用于帮助企业汇总第三方风险,并保护组织免受破坏。Archer的关键功能包括可定制的控制和风险指标、风险概况指标以及用于比较风险后果的高级可视化工具。
主要功能和特点:
- 可定制的风险报告和监控;
- 定量和定性相结合的风险分析;
- 可定制的关键风险指标;
- 适合被高度监管的行业用户使用;
- 基于AI的功能其更容易快速评估第三方资产风险。
不足:
- 该解决方案只能与其他Archer解决方案结合;
- Archer的定价和授权模式有些复杂;
- 频繁收购和变动,会对方案的长期发展方向和稳定性带来一定影响。
传送门:https://www.archerirm.com/third-party-governance
07、SecurityScorecard Platform
SecurityScorecard是最早进入TPRM领域的服务商之一,拥有专利性的风险评分技术,客户数量已超过1000家。方案可以帮助组织分析其数字化应用的足迹,并通过对应到供应商网络安全问卷的即时风险评分来进行第三方风险管理。SecurityScorecard平台易于部署,能够处理面向公众的基础设施风险。该工具的布局及其中央仪表板易于导航,大量图形化元素的使用让其成为目前最受欢迎的TPRM可视化解决方案之一。
主要功能和特点:
- 可以开展持续监控和全球IP扫描;
- 支持调查问卷的自动发送和回复;
- 提供基于规则的网络安全响应工具;
- 强大的用户界面和可视化功能;
- 为潜在买家提供透明定价模式和免费试用版。
不足:
- 该工具主要侧重于检测,风险补救和事件响应功能有限;
- 对客户的服务支持有时会滞后;
- 风险报告功能比较有限。
传送门:https://securityscorecard.com/solutions/third-party-risk-management/
08、Aravo for Third Party Management
Aravo成立于2000年,提供基于SaaS的供应商信息管理(SIM)和TPRM技术。Aravo for Third Party Management工具可以帮助用户更好地管理新供应商导入、风险评估自动化和尽职调查。该解决方案提供了许多预配置的工作流、评估、指示板和报告,同时也可以根据每家企业的不同要求来配置这些功能。
主要功能和特点:
- 自动化风险评估和供应商导入;
- 基于动态调查的第三方风险评分;
- 完善的第三方情报网络;
- 可以对风险问题的处置情况进行跟踪;
- 可以为反贿赂、反腐败、数据隐私和信息安全要求提供了专门的功能;
- 通过创新的交换中心和客户社区,提供互动式客户体验;
- 预配置应用程序和原生内容集成很强大,且高度可用。
不足:
- 公司已基本上从开发TPRM转向关注业务弹性;
- 许多功能只能通过第三方合作伙伴或需要额外付费的附加组件才能获得;
- 定价模式有些复杂。
传送门:https://aravo.com/products/third-party-risk-management/
09、Panorays
Panorays是一款网络安全解决方案,也可以为第三方风险管理和补救提供自动化功能。Panorays的策略让客户更清楚的了解风险,尤其能够满足GDPR和HIPAA等合规标准。Panorays工具易于部署和集中式管理,它还有一个新颖直观的用户界面,并注重为客户提供服务支持。
主要功能和特点:
- 具有供应商安全问卷的预构建模板;
- 提供外部攻击面监控和评估;
- 开箱即用的报告;
- 产品不断完善,不断接受客户反馈,有强大的发展路线图;
- 用户对规划、评估和软件实施方面的客户支持的质量和一致性给予了好评。
不足:
- 连接件和集成功能比较有限;
- 风险报告还需要改进,尤其是应添加更多的自助元素;
- 资产扫描功能有限。
传送门:https://panorays.com/
10、Diligent ThirdPartyBond
Diligent ThirdPartyBond解决方案可以帮助组织进行端到端的第三方风险管理,并提供供应商导入、证据自动收集和评估调查等资源。ThirdPartyBond还可以跟踪服务级别协议(SLA),并为高级管理层提供具体的风险报告。它还提供一些最佳的报告和可视化功能,包括细粒度拖放式仪表板、交互式故事板和各种预构建报告。
主要功能和特点:
- 集中式清点和批量导入第三方;
- 基于风险的控制评估;
- KPI和KRI驱动的报告;
- SLA绩效监控和合同管理;
- 自适应供应商调查和风险评分;
- 强大的风险分析被内置到平台中;
- 采用先进的机器学习算法来预测控制故障。
不足:
- 仅拥有有限的可定制性;
- 服务价格并不便宜;
- Diligent功能的改动需要通过脚本才能完成,这对非专业用户来说是挑战。
传送门:https://www.wegalvanize.com/vendor-risk-management/
参考链接:https://www.esecurityplanet.com/products/third-party-risk-management/
