不管企業(yè)規(guī)模大小，其在開展生產經營活動的過程中，總是存在著和第三方機構（人員）發(fā)生業(yè)務往來的交互過程，這意味著每個企業(yè)都會面臨第三方的風險威脅，而與之對應的第三方風險管理（Third Party Risk Management，簡稱TPRM），就是要了解并管理好第三方合作機構可能給企業(yè)本身帶來的負面影響，并采取積極主動的措施，應對可能由此產生的風險損失。

第三方風險管理是一個持續(xù)的過程，旨在全面評估、監(jiān)控和管理來自外部機構合作中引入的安全風險。對于企業(yè)組織而言，積極部署TPRM工具對于降低運營風險、防止?jié)撛诘呢攧論p失至關重要，不僅可以大大降低組織的安全合規(guī)成本，提高運營效率，還能夠有效增強對未知安全風險的應對能力。本文收集整理了目前應用較廣泛的10款第三方風險管理工具，并對其應用特點進行了分析：

01、OneTrust Third-Party Risk Management

OneTrust公司成立于2016年，其推出的OneTrust Third-Party Risk Management工具被廣泛認為是注重合規(guī)企業(yè)的最佳TPRM解決方案之一，可以幫助企業(yè)組織專業(yè)評估客戶、員工和供應商的數據傳輸是否安全。

在OneTrust官方網站上，全面提供隱私影響評估、數據庫存映射、補救建議和日常審計服務，其可用性、可訪問性、技術支持質量和自動化程度等均受到用戶的好評。OneTrust也是少數可以提供免費試用版TPRM解決方案的服務商。

主要功能與特點:

• 統(tǒng)一的第三方關系清單；
• 強大的風險洞察和分析引擎；
• 智能導入所有的業(yè)務工作流；
• 可以與其他OneTrust安全解決方案和第三方數據源集成；
• 提供AI自動完成技術，以便更快地完成風險識別與分析；
• 工作流可靈活配置，遵循直觀的假設分析邏輯。

不足：

• OneTrust的風險修補功能還不完善，存在較多限制；
• 在風險優(yōu)先級評價和高級分析功能方面表現一般；
• 原生集成方面有待改進。

傳送門：https://www.onetrust.com/platform/third-party-risk/

02、Prevalent TPRM平臺

Prevalent公司成立于2004年，通過Prevalent TPRM平臺為客戶提供完整的第三方風險管理解決方案，功能包括固有風險評分、流程導入、供應商風險評估和監(jiān)控等。借助Prevalent的檢測與分析能力，組織可以選擇出可信賴的第三方供應商，從源頭降低第三方風險管理的成本、復雜性和危害。

用戶對Prevalent的易于集成和部署、風險概況管理和技術支持給予了好評。對于希望由TPRM軟件轉向全面管理服務和強大客戶支持的買家來說，它也是最佳選擇之一。

主要功能與特點：

• 自動化風險評估和持續(xù)風險監(jiān)控；
• 具有供應商情報收集網絡，可實時訪問數千家公司的完整風險報告；
• 可用于集中分發(fā)和管理RFP和RFI的RFx Essentials；
• 可對風險進行評分，并提供糾正措施和盡職調查方面的規(guī)范指導；
• 提供了強大的專業(yè)托管服務。

不足：

• 目前只提供基礎性的通用風險評分功能；
• 定制化支持不足，大多數定制只能通過供應商進行；
• 用戶交互界面不夠直觀，交互體驗不足。

傳送門：https://www.prevalent.net/use-cases/third-party-risk-management/

03、Venminder

Venminder成立于2003年，是一家SaaS化第三方風險管理服務的專業(yè)供應商，通過其推出的風險評估、盡職調查要求、問卷調查、SLA管理和供應商導入等服務，用戶可以有效評估供應商的安全狀態(tài)、SOC報告、合同、財務、業(yè)務連續(xù)性和災難恢復等風險情況。

Venminder會為每一位用戶分配一位關系經理，以提供貼心的客戶導入。導入后，該公司繼續(xù)為客戶提供靈活的支持方式與時間，包括電子郵件、電話和聊天等。

主要功能與特點：

• 可定制的風險評估，擁有大量通用模板和進度監(jiān)控；
• 帶有供應商記分跟蹤卡，可提供完善的監(jiān)督管理功能；
• 提供基于時間點的風險概況創(chuàng)建；
• 集成龐大的風險知識庫，提供免費的學習資源、在線研討服務；
• 所有方案都提供無限制的用戶訪問，并提供菜單式服務和功能，易于擴展和調整，可滿足客戶的具體需求。

不足：

• 國際化程度有限，幾乎只面向北美客戶；
• 主要專注于金融客戶，其他領域的行業(yè)積累和經驗有限。

傳送門：https://www.venminder.com/

04、BitSight Third-Party Risk Management

BitSight是目前全球主流的TPRM解決方案提供商之一，以供應商情報網絡而聞名。基于復雜的算法和長期性安全評級，其推出的BitSight Third-Party Risk Management和Security Ratings Platform可以幫助組織有效管理第三方風險。BitSight還集成ServiceNow和ProcessUnity等其他VRM工具，為用戶提供全面的TPRM完整解決方案。

主要功能和特點：

• 可以自動導入風險評估結果；
• 通過數據驅動的供應商響應驗證策略；
• 用于供應商評估優(yōu)先級確定的可定制工作流；
• BitSight可以與大多數其他TPRM解決方的集成并兼容；
• 客戶和非客戶都能獲得免費的網絡安全報告，報告內容很全面。

不足：

• 客戶支持代表數量優(yōu)先，與用戶的溝通和聯(lián)系有限；
• 當網絡中的問題得到解決時，不容易過濾數據結果或更新報告結果。

傳送門：https://www.bitsight.com/third-party-risk-management

05、ProcessUnity Third-Party Risk Management

PocessUnity Third-Party Risk ManagementSaaS是一款專業(yè)的第三方風險管理解決方案，可以幫助企業(yè)識別、管理和補救第三方合作時的風險問題。該工具還包括定期的供應商安全能力評審，以確保組織的安全態(tài)勢繼續(xù)良好。

ProcessUnity不斷豐富的自動化能力給用戶留下了特別深的印象，該工具可以為組織評估風險、證據收集及其他風險管理工作定制自動化的工作流程。

主要功能和特點：

• 可以自動評估風險范圍和證據收集；
• 自動化和無代碼功能使這款工具可靈活定制；
• 報告數據簡潔明了，能讓所有利益相關者都易于理解；
• 方案支持從采購到合同管理的整個TPRM生命周期。

不足：

• 被認為是價昂貴的TPRM解決方案；
• 報告中的可視化功能有限。

傳送門：https://www.processunity.com/third-party-risk-management/

06、Archer Third-Party Governance

Archer Third-Party Governance是一款企業(yè)級風險量化軟件，主要用于幫助企業(yè)匯總第三方風險，并保護組織免受破壞。Archer的關鍵功能包括可定制的控制和風險指標、風險概況指標以及用于比較風險后果的高級可視化工具。

主要功能和特點：

• 可定制的風險報告和監(jiān)控；
• 定量和定性相結合的風險分析；
• 可定制的關鍵風險指標；
• 適合被高度監(jiān)管的行業(yè)用戶使用；
• 基于AI的功能其更容易快速評估第三方資產風險。

不足：

• 該解決方案只能與其他Archer解決方案結合；
• Archer的定價和授權模式有些復雜；
• 頻繁收購和變動，會對方案的長期發(fā)展方向和穩(wěn)定性帶來一定影響。

傳送門：https://www.archerirm.com/third-party-governance

07、SecurityScorecard Platform

SecurityScorecard是最早進入TPRM領域的服務商之一，擁有專利性的風險評分技術，客戶數量已超過1000家。方案可以幫助組織分析其數字化應用的足跡，并通過對應到供應商網絡安全問卷的即時風險評分來進行第三方風險管理。SecurityScorecard平臺易于部署，能夠處理面向公眾的基礎設施風險。該工具的布局及其中央儀表板易于導航，大量圖形化元素的使用讓其成為目前最受歡迎的TPRM可視化解決方案之一。

主要功能和特點：

• 可以開展持續(xù)監(jiān)控和全球IP掃描；
• 支持調查問卷的自動發(fā)送和回復；
• 提供基于規(guī)則的網絡安全響應工具；
• 強大的用戶界面和可視化功能；
• 為潛在買家提供透明定價模式和免費試用版。

不足：

• 該工具主要側重于檢測，風險補救和事件響應功能有限；
• 對客戶的服務支持有時會滯后；
• 風險報告功能比較有限。

傳送門：https://securityscorecard.com/solutions/third-party-risk-management/

08、Aravo for Third Party Management

Aravo成立于2000年，提供基于SaaS的供應商信息管理（SIM）和TPRM技術。Aravo for Third Party Management工具可以幫助用戶更好地管理新供應商導入、風險評估自動化和盡職調查。該解決方案提供了許多預配置的工作流、評估、指示板和報告，同時也可以根據每家企業(yè)的不同要求來配置這些功能。

主要功能和特點：

• 自動化風險評估和供應商導入；
• 基于動態(tài)調查的第三方風險評分；
• 完善的第三方情報網絡；
• 可以對風險問題的處置情況進行跟蹤；
• 可以為反賄賂、反腐敗、數據隱私和信息安全要求提供了專門的功能；
• 通過創(chuàng)新的交換中心和客戶社區(qū)，提供互動式客戶體驗；
• 預配置應用程序和原生內容集成很強大，且高度可用。

不足：

• 公司已基本上從開發(fā)TPRM轉向關注業(yè)務彈性；
• 許多功能只能通過第三方合作伙伴或需要額外付費的附加組件才能獲得；
• 定價模式有些復雜。

傳送門：https://aravo.com/products/third-party-risk-management/

09、Panorays

Panorays是一款網絡安全解決方案，也可以為第三方風險管理和補救提供自動化功能。Panorays的策略讓客戶更清楚的了解風險，尤其能夠滿足GDPR和HIPAA等合規(guī)標準。Panorays工具易于部署和集中式管理，它還有一個新穎直觀的用戶界面，并注重為客戶提供服務支持。

主要功能和特點：

• 具有供應商安全問卷的預構建模板；
• 提供外部攻擊面監(jiān)控和評估；
• 開箱即用的報告；
• 產品不斷完善，不斷接受客戶反饋，有強大的發(fā)展路線圖；
• 用戶對規(guī)劃、評估和軟件實施方面的客戶支持的質量和一致性給予了好評。

不足：

• 連接件和集成功能比較有限；
• 風險報告還需要改進，尤其是應添加更多的自助元素；
• 資產掃描功能有限。

傳送門：https://panorays.com/

10、Diligent ThirdPartyBond

Diligent ThirdPartyBond解決方案可以幫助組織進行端到端的第三方風險管理，并提供供應商導入、證據自動收集和評估調查等資源。ThirdPartyBond還可以跟蹤服務級別協(xié)議（SLA），并為高級管理層提供具體的風險報告。它還提供一些最佳的報告和可視化功能，包括細粒度拖放式儀表板、交互式故事板和各種預構建報告。

主要功能和特點：

• 集中式清點和批量導入第三方；
• 基于風險的控制評估；
• KPI和KRI驅動的報告；
• SLA績效監(jiān)控和合同管理；
• 自適應供應商調查和風險評分；
• 強大的風險分析被內置到平臺中；
• 采用先進的機器學習算法來預測控制故障。

不足：

• 僅擁有有限的可定制性；
• 服務價格并不便宜；
• Diligent功能的改動需要通過腳本才能完成，這對非專業(yè)用戶來說是挑戰(zhàn)。

傳送門：https://www.wegalvanize.com/vendor-risk-management/

參考鏈接：https://www.esecurityplanet.com/products/third-party-risk-management/