隨著數(shù)字技術(shù)的迅猛發(fā)展，供應(yīng)鏈的數(shù)字化趨勢(shì)創(chuàng)造了新的商業(yè)模式，也衍生了一種新角色——“第三方數(shù)字合作伙伴”。它們帶來(lái)商業(yè)價(jià)值的同時(shí)，也讓組織和供應(yīng)鏈中角色共擔(dān)風(fēng)險(xiǎn)。如今因?yàn)?ldquo;第三方數(shù)字合作伙伴”，如供應(yīng)商的風(fēng)險(xiǎn)問(wèn)題導(dǎo)致企業(yè)自身數(shù)據(jù)泄露的案例教訓(xùn)已不在少數(shù)，尤其對(duì)于供應(yīng)關(guān)系復(fù)雜，深度依賴數(shù)字化的企業(yè)。除了做好自身的風(fēng)險(xiǎn)管理，更要重視起供應(yīng)商及供應(yīng)關(guān)系的安全，別做好了自身的安全，卻躺在了別人的風(fēng)險(xiǎn)上。

[[206499]]

傳統(tǒng)供應(yīng)鏈中的第三方

“第三方”字面定義為“一個(gè)不受特定組織直接控制的實(shí)體”。許多人將供應(yīng)鏈中的第三方等同于供應(yīng)商，但實(shí)際并非如此; 它廣泛包含了是產(chǎn)品或服務(wù)的供應(yīng)商(或商業(yè)合作伙伴)，商業(yè)伙伴 (合資伙伴 聯(lián)盟等)，市場(chǎng)合作伙伴，戰(zhàn)略咨詢顧問(wèn)，政府機(jī)關(guān)，監(jiān)管機(jī)構(gòu)，客戶等等。普華永道在傳統(tǒng)IT供應(yīng)商風(fēng)險(xiǎn)管理報(bào)告中，用下圖將企業(yè)復(fù)雜的第三方脈絡(luò)關(guān)系表示了出來(lái)。

由此可知，傳統(tǒng)供應(yīng)關(guān)系劃分復(fù)雜而界限層次分明，企業(yè)供應(yīng)鏈上游，有產(chǎn)品或服務(wù)的供應(yīng)商等;企業(yè)供應(yīng)鏈下游，有用戶、分銷商等;企業(yè)合作伙伴，有市場(chǎng)、商業(yè)、戰(zhàn)略合作人等;企業(yè)上層，有監(jiān)管政府機(jī)關(guān)、監(jiān)管機(jī)構(gòu)等。

傳統(tǒng)供應(yīng)鏈中，供應(yīng)關(guān)系或外包模式清晰。通常，能夠?qū)⒌谌斤L(fēng)險(xiǎn)分成實(shí)體風(fēng)險(xiǎn)，與服務(wù)風(fēng)險(xiǎn)兩類：

• 實(shí)體風(fēng)險(xiǎn)：即與第三方組織結(jié)構(gòu)和特征相關(guān)的風(fēng)險(xiǎn)，指第三方組織本身的風(fēng)險(xiǎn)(例如組織的大小規(guī)模/架構(gòu)復(fù)雜性，過(guò)去經(jīng)驗(yàn)與信譽(yù)等);
• 服務(wù)風(fēng)險(xiǎn)：與提供的產(chǎn)品或服務(wù)相關(guān)的風(fēng)險(xiǎn)，指第三方組織產(chǎn)物的風(fēng)險(xiǎn)(例如提供的規(guī)定數(shù)據(jù)，可用性要求等)。

故而，傳統(tǒng)供應(yīng)關(guān)系下，我們可以通過(guò)有效的風(fēng)險(xiǎn)管理，將第三方或外包供應(yīng)商的接入控制到企業(yè)的業(yè)務(wù)邊緣，來(lái)降低風(fēng)險(xiǎn)。但時(shí)至今日，但隨著商業(yè)模式與供應(yīng)關(guān)系更加依賴數(shù)字化后，風(fēng)險(xiǎn)變成了什么樣?

數(shù)字化發(fā)展為供應(yīng)鏈帶來(lái)新的角色：第三方數(shù)字合作伙伴

(數(shù)字化依賴程度將決定商業(yè)模式和供應(yīng)關(guān)系的改變)

我們知道，傳統(tǒng)供應(yīng)關(guān)系是組織可通過(guò)供應(yīng)商提供基礎(chǔ)設(shè)施，自行或通過(guò)外包商來(lái)進(jìn)行生產(chǎn)或開(kāi)發(fā)等環(huán)節(jié)，但這些都建立自主可控的大環(huán)境下。如今，數(shù)字化供應(yīng)鏈正在改變這種簡(jiǎn)單依賴的供應(yīng)關(guān)系。

國(guó)內(nèi)***專注數(shù)字化供應(yīng)鏈安全解決方案的專業(yè)安全團(tuán)隊(duì) “安全值”***提出了“第三方數(shù)字合作伙伴”的概念。數(shù)字化供應(yīng)鏈各節(jié)點(diǎn)的角色將區(qū)別于傳統(tǒng)供應(yīng)關(guān)系，它們將逐漸淡化供求角色與邊界的劃分，這些將自身核心業(yè)務(wù)深度嵌入或捆綁的關(guān)系伙伴，共稱之“第三方數(shù)字合作伙伴”。它們共同構(gòu)成產(chǎn)業(yè)鏈，同樣的，也共同面臨和承擔(dān)風(fēng)險(xiǎn)。

比如云的應(yīng)用，讓組織將自己的核心生產(chǎn)環(huán)境或重要信息遷移到供應(yīng)商提供的軟件平臺(tái)或基礎(chǔ)設(shè)施上。如下圖所示的云服務(wù)模式，它讓供應(yīng)商的接入也從企業(yè)邊緣地帶轉(zhuǎn)變?yōu)榕c企業(yè)核心業(yè)務(wù)的捆綁，從根本上改變了傳統(tǒng)供應(yīng)關(guān)系。

云租戶可能在任意一個(gè)邏輯層次接入，既有可能成為供應(yīng)鏈下游客戶，也有可能成為的供應(yīng)商，甚至是兼顧二者的角色。比如，組織租賃提供商的PaaS服務(wù)，部署軟件應(yīng)用，又以SaaS模式發(fā)布。類似的，除了云計(jì)算的應(yīng)用，如下圖還有更多數(shù)字化技術(shù)正在或即將推動(dòng)供應(yīng)鏈的變革。

隨著計(jì)算能力的高速發(fā)展與數(shù)字化程度的深度滲透，衍生了無(wú)數(shù)新時(shí)代的產(chǎn)物，也改變了商業(yè)模式與供應(yīng)關(guān)系。再舉個(gè)例子，物聯(lián)網(wǎng)(IoT)技術(shù)，IoT對(duì)公司進(jìn)入供應(yīng)鏈管理的方式產(chǎn)生了巨大的影響。

諸如此類，傳感器、云服務(wù)到納米技術(shù)、大數(shù)據(jù)，越來(lái)越多的技術(shù)驅(qū)動(dòng)了數(shù)字化趨勢(shì)的發(fā)展，同時(shí)，數(shù)字化的趨勢(shì)影響著整個(gè)商業(yè)模式從而改變傳統(tǒng)的供應(yīng)鏈管理。供應(yīng)鏈的轉(zhuǎn)變表現(xiàn)為以下三個(gè)方面：

1. 供應(yīng)場(chǎng)景定制化

不同用戶適應(yīng)不同場(chǎng)景，對(duì)研發(fā)，生產(chǎn)，供應(yīng)鏈和采購(gòu)，銷售，財(cái)務(wù)，IT，人員和技能等領(lǐng)域進(jìn)行針對(duì)性評(píng)估。

2. 供應(yīng)模式創(chuàng)新化

數(shù)字化環(huán)境下驅(qū)動(dòng)出的新興商業(yè)模式

3. 供應(yīng)關(guān)系扁平化

通過(guò)移動(dòng)端、云、智能設(shè)備等鏈接組織數(shù)字合作伙伴，確定數(shù)字戰(zhàn)略目標(biāo)

數(shù)字合作伙伴為企業(yè)帶來(lái)的安全挑戰(zhàn)

如今因?yàn)榈谌桨踩鹿识l(fā)的數(shù)據(jù)泄露案件不在少數(shù)，對(duì)于企業(yè)來(lái)說(shuō)，第三方數(shù)字合作伙伴與組織自身相互依賴共存，數(shù)據(jù)互聯(lián)互通，風(fēng)險(xiǎn)也一脈相承。故而在做好自身風(fēng)險(xiǎn)管理的基礎(chǔ)上，對(duì)“第三方數(shù)字合作伙伴”的安全評(píng)價(jià)尤顯重要。數(shù)字合作伙伴將會(huì)給企業(yè)帶來(lái)以下更多的安全思考與挑戰(zhàn)：

如何全面、有效的梳理“第三方數(shù)字合作伙伴”的名單與相互依賴關(guān)系;

• 如何將“第三方數(shù)字合作伙伴”的評(píng)價(jià)結(jié)果，有效轉(zhuǎn)化為對(duì)第三方采購(gòu)、運(yùn)營(yíng)、監(jiān)測(cè)、交付、終止等環(huán)節(jié)的支持和幫助;
• “第三方數(shù)字合作伙伴”介入的情況下，如何對(duì)組織自身及用戶敏感數(shù)據(jù)進(jìn)行有效的監(jiān)測(cè)、預(yù)警、管控、跟蹤等;
• 如何合理、有效落實(shí)約束“第三方數(shù)字合作伙伴”的管理制度或流程。