廠商風險管理是今年的熱門話題，并且提供風險管理方案的企業(yè)也在不斷增多。正如安全領域中的其他市場一樣，多數(shù)廠商都在使用同樣的營銷手段。每個廠商似乎都宣稱可以提供其他廠商能提供的一切功能和特性。企業(yè)似乎很難評估不同的廠商。

廠商的風險管理是一種重要功能。第三方給企業(yè)帶來的風險需要作為戰(zhàn)略性整體風險管理方法的一個完整組成部分來理解和管理。多數(shù)企業(yè)都理解這一點，并且期望在不遠的將來解決這種需要。那么在廠商風險管理陣地存在諸多迷惑情況下，企業(yè)如何理清思路，評估和區(qū)分不同的產品呢？筆者以為需考慮如下七個問題：

不存在適用于多企業(yè)的方案

在不同的規(guī)范、標準、行業(yè)之間存在很多相同的控制，但這種相同之處并不全面。企業(yè)要關注不同的問題，這依賴于行業(yè)、企業(yè)規(guī)模、地理位置、處理的數(shù)據(jù)類型、電子訪問企業(yè)的類型，以及在企業(yè)評估第三方風險時的很多其他問題。

半導體行業(yè)的企業(yè)所關注的問題往往不同于金融。同樣，能源、健康保健等行業(yè)的問題也各不相同。如果你正在考慮一種可以提供“以一當十”的廠商風險管理方案，但卻不能導入企業(yè)的客戶評估，不能真正解決企業(yè)期望和關注的問題，那么就應慎重考慮了。

掃描并不夠

從外部掃描廠商的外圍可以揭示企業(yè)總體安全狀況的部分特征嗎？當然可以，但是僅僅掃描是遠遠不夠的。掃描不能告訴我們關于人員、過程及廠商的策略等信息，也不能提供廠商如何能夠或不能保護敏感信息。而這些方面都是真正確定廠商的安全項目在管理和減輕風險時非常重要的問題。

衡量標準不容易

對于廠商的風險管理，要找到一套衡量標準并不容易。也許我們可以收集幾個廠商的數(shù)據(jù)，并且對其安全狀況做出個別的評估。

但要比較這些廠商也不容易。適時地跟蹤已經確認的問題，并評估其解決方案？恐怕也沒有太好的辦法。從一個集中化的管理平臺管理與廠商的通信？也不太容易。理解每家不同廠商的不同進展？建立總體的風險快照，以期望對一系列參數(shù)的不同報告進行分片或劃分？

評測

理解廠商給企業(yè)帶來的風險是有益的。但了解企業(yè)風險或廠商風險如何與企業(yè)的地理位置、行業(yè)、公司規(guī)模或其他參數(shù)進行比較有什么意義呢？對于任何廠商風險管理方案來說，這極端重要。如果廠商風險管理供應商并不能提供評測，這就等于告訴你應另請高明。

過程為王

自動化的廠商風險管理方案尋求取代打電話、采訪、電子表等陳舊的廠商風險評估方法。任何可行的廠商風險管理方案都需要能提高一種端到端的自動過程，能通過一個集中化的界面快速而輕松地實施管理。在這個時代，其他的一切都是陳舊的。

僅指出錯在哪里是不夠的

指出哪里出錯是個起點。但是，建議如何解決問題，并且提供一種從頭到尾管理此過程的好方法，才是自動化的廠商風險管理方案的真正價值所在。

關于解決問題的建議正是區(qū)分不同廠商風險管理方案的真正重要特性。

支持決策

最終，企業(yè)需要理解其風險，并使用這種信息做出可行的修復決策。任何真正的廠商風險管理都需要能夠促進而不是應對這種過程。

在廠商風險管理領域，確實存在相當數(shù)量的“選手”，而且這個領域在短時間內存在諸多混亂和噪音。雖如此，企業(yè)仍可以用很多方法去正確地評估和區(qū)分各種廠商風險管理方案。