隨著數(shù)字技術(shù)的迅猛發(fā)展，供應(yīng)鏈的數(shù)字化趨勢創(chuàng)造了新的商業(yè)模式，也衍生了一種新角色——“第三方數(shù)字合作伙伴”。它們帶來商業(yè)價值的同時，也讓組織和供應(yīng)鏈中角色共擔風險。如今因為“第三方數(shù)字合作伙伴”，如供應(yīng)商的風險問題導(dǎo)致企業(yè)自身數(shù)據(jù)泄露的案例教訓(xùn)已不在少數(shù)，尤其對于供應(yīng)關(guān)系復(fù)雜，深度依賴數(shù)字化的企業(yè)。除了做好自身的風險管理，更要重視起供應(yīng)商及供應(yīng)關(guān)系的安全，別做好了自身的安全，卻躺在了別人的風險上。

[[206499]]

傳統(tǒng)供應(yīng)鏈中的第三方

“第三方”字面定義為“一個不受特定組織直接控制的實體”。許多人將供應(yīng)鏈中的第三方等同于供應(yīng)商，但實際并非如此; 它廣泛包含了是產(chǎn)品或服務(wù)的供應(yīng)商(或商業(yè)合作伙伴)，商業(yè)伙伴 (合資伙伴 聯(lián)盟等)，市場合作伙伴，戰(zhàn)略咨詢顧問，政府機關(guān)，監(jiān)管機構(gòu)，客戶等等。普華永道在傳統(tǒng)IT供應(yīng)商風險管理報告中，用下圖將企業(yè)復(fù)雜的第三方脈絡(luò)關(guān)系表示了出來。

由此可知，傳統(tǒng)供應(yīng)關(guān)系劃分復(fù)雜而界限層次分明，企業(yè)供應(yīng)鏈上游，有產(chǎn)品或服務(wù)的供應(yīng)商等;企業(yè)供應(yīng)鏈下游，有用戶、分銷商等;企業(yè)合作伙伴，有市場、商業(yè)、戰(zhàn)略合作人等;企業(yè)上層，有監(jiān)管政府機關(guān)、監(jiān)管機構(gòu)等。

傳統(tǒng)供應(yīng)鏈中，供應(yīng)關(guān)系或外包模式清晰。通常，能夠?qū)⒌谌斤L險分成實體風險，與服務(wù)風險兩類：

• 實體風險：即與第三方組織結(jié)構(gòu)和特征相關(guān)的風險，指第三方組織本身的風險(例如組織的大小規(guī)模/架構(gòu)復(fù)雜性，過去經(jīng)驗與信譽等);
• 服務(wù)風險：與提供的產(chǎn)品或服務(wù)相關(guān)的風險，指第三方組織產(chǎn)物的風險(例如提供的規(guī)定數(shù)據(jù)，可用性要求等)。

故而，傳統(tǒng)供應(yīng)關(guān)系下，我們可以通過有效的風險管理，將第三方或外包供應(yīng)商的接入控制到企業(yè)的業(yè)務(wù)邊緣，來降低風險。但時至今日，但隨著商業(yè)模式與供應(yīng)關(guān)系更加依賴數(shù)字化后，風險變成了什么樣?

數(shù)字化發(fā)展為供應(yīng)鏈帶來新的角色：第三方數(shù)字合作伙伴

(數(shù)字化依賴程度將決定商業(yè)模式和供應(yīng)關(guān)系的改變)

我們知道，傳統(tǒng)供應(yīng)關(guān)系是組織可通過供應(yīng)商提供基礎(chǔ)設(shè)施，自行或通過外包商來進行生產(chǎn)或開發(fā)等環(huán)節(jié)，但這些都建立自主可控的大環(huán)境下。如今，數(shù)字化供應(yīng)鏈正在改變這種簡單依賴的供應(yīng)關(guān)系。

國內(nèi)***專注數(shù)字化供應(yīng)鏈安全解決方案的專業(yè)安全團隊 “安全值”***提出了“第三方數(shù)字合作伙伴”的概念。數(shù)字化供應(yīng)鏈各節(jié)點的角色將區(qū)別于傳統(tǒng)供應(yīng)關(guān)系，它們將逐漸淡化供求角色與邊界的劃分，這些將自身核心業(yè)務(wù)深度嵌入或捆綁的關(guān)系伙伴，共稱之“第三方數(shù)字合作伙伴”。它們共同構(gòu)成產(chǎn)業(yè)鏈，同樣的，也共同面臨和承擔風險。

比如云的應(yīng)用，讓組織將自己的核心生產(chǎn)環(huán)境或重要信息遷移到供應(yīng)商提供的軟件平臺或基礎(chǔ)設(shè)施上。如下圖所示的云服務(wù)模式，它讓供應(yīng)商的接入也從企業(yè)邊緣地帶轉(zhuǎn)變?yōu)榕c企業(yè)核心業(yè)務(wù)的捆綁，從根本上改變了傳統(tǒng)供應(yīng)關(guān)系。

云租戶可能在任意一個邏輯層次接入，既有可能成為供應(yīng)鏈下游客戶，也有可能成為的供應(yīng)商，甚至是兼顧二者的角色。比如，組織租賃提供商的PaaS服務(wù)，部署軟件應(yīng)用，又以SaaS模式發(fā)布。類似的，除了云計算的應(yīng)用，如下圖還有更多數(shù)字化技術(shù)正在或即將推動供應(yīng)鏈的變革。

隨著計算能力的高速發(fā)展與數(shù)字化程度的深度滲透，衍生了無數(shù)新時代的產(chǎn)物，也改變了商業(yè)模式與供應(yīng)關(guān)系。再舉個例子，物聯(lián)網(wǎng)(IoT)技術(shù)，IoT對公司進入供應(yīng)鏈管理的方式產(chǎn)生了巨大的影響。

諸如此類，傳感器、云服務(wù)到納米技術(shù)、大數(shù)據(jù)，越來越多的技術(shù)驅(qū)動了數(shù)字化趨勢的發(fā)展，同時，數(shù)字化的趨勢影響著整個商業(yè)模式從而改變傳統(tǒng)的供應(yīng)鏈管理。供應(yīng)鏈的轉(zhuǎn)變表現(xiàn)為以下三個方面：

1. 供應(yīng)場景定制化

不同用戶適應(yīng)不同場景，對研發(fā)，生產(chǎn)，供應(yīng)鏈和采購，銷售，財務(wù)，IT，人員和技能等領(lǐng)域進行針對性評估。

2. 供應(yīng)模式創(chuàng)新化

數(shù)字化環(huán)境下驅(qū)動出的新興商業(yè)模式

3. 供應(yīng)關(guān)系扁平化

通過移動端、云、智能設(shè)備等鏈接組織數(shù)字合作伙伴，確定數(shù)字戰(zhàn)略目標

數(shù)字合作伙伴為企業(yè)帶來的安全挑戰(zhàn)

如今因為第三方安全事故而引發(fā)的數(shù)據(jù)泄露案件不在少數(shù)，對于企業(yè)來說，第三方數(shù)字合作伙伴與組織自身相互依賴共存，數(shù)據(jù)互聯(lián)互通，風險也一脈相承。故而在做好自身風險管理的基礎(chǔ)上，對“第三方數(shù)字合作伙伴”的安全評價尤顯重要。數(shù)字合作伙伴將會給企業(yè)帶來以下更多的安全思考與挑戰(zhàn)：

如何全面、有效的梳理“第三方數(shù)字合作伙伴”的名單與相互依賴關(guān)系;

• 如何將“第三方數(shù)字合作伙伴”的評價結(jié)果，有效轉(zhuǎn)化為對第三方采購、運營、監(jiān)測、交付、終止等環(huán)節(jié)的支持和幫助;
• “第三方數(shù)字合作伙伴”介入的情況下，如何對組織自身及用戶敏感數(shù)據(jù)進行有效的監(jiān)測、預(yù)警、管控、跟蹤等;
• 如何合理、有效落實約束“第三方數(shù)字合作伙伴”的管理制度或流程。