想当年，TPRM被设计为一种主动措施，旨在保护企业的敏感数据，加强数字基础设施抵御外部风险的能力，然而，随着时间的推移，这一初衷逐渐被扭曲。如今，TPRM更多地表现为一种走过场的仪式，企业为了应付检查而填写安全问卷，却并未真正解决潜在的安全问题。

这一切的根源，在于安全行业与企业期望之间的错位。在追求合规性的过程中，企业过于依赖审计驱动的框架，而审计人员则更看重文档的完整性和可重复性，而非实际的安全效果。结果，TPRM失去了其原始意义，变成了一个基于安全假象的体系。

更糟糕的是，“勾选框文化”在TPRM内部蔓延开来，成为了一个自我强加的负担。安全问卷，这个本应是为了确保对第三方关系进行彻底审查和真正风险缓解的工具，却变成了复杂、冗余且有时毫无意义的文件堆砌。企业为了完成这些清单而疲于奔命，却并未真正增加对安全风险的洞察力。

这种虚假的安全感不仅无效，还带来了严重的后果。供应商在接到一刀切的安全问卷时，往往感到“问卷疲劳”，因为许多问题与他们的具体角色或风险状况并不相关，这种缺乏定制和上下文的审查，最终只能沦为形式上的参与，而无法捕捉到现实世界中的复杂威胁。

问题的根源还在于TPRM工具的激增。这些自动化平台虽然简化了安全问卷的创建、分发和完成过程，但也无意中强化了勾选框的做法。许多评估在提供有意义的洞察力方面显得不足，因为它们更多地关注于形式而非实质。

更关键的是，没有任何一个核心监管框架明确要求进行安全问卷流程，这让我们不得不反思：我们究竟在为什么而忙碌?是真正的安全，还是仅仅为了应付检查?

管理TPRM的人员，即治理、风险和合规(GRC)专业人员，往往在监管需求和网络安全目标之间寻求平衡，但依赖勾选框合规性却提出了严重的问题：这些把关者是否真正具备评估风险的能力?他们是否真正理解不断演变的威胁和漏洞?

为了摆脱这种有害的循环，企业必须从根本上改革其TPRM方法，这意味着采用一种真正基于风险的方法，超越简单的合规性，企业应开发具有针对性、实质性的安全问卷，优先考虑深度而非广度，深入探究供应商的安全实践。

此外，企业还应与供应商培养一种透明和协作的文化，当TPRM成为一条双向街道时，供应商被视为实现共同安全目标的合作伙伴，而非单纯的服务提供商，这种文化转变有可能将TPRM从一种勾选框的活动转变为网络安全中主动且有效的部分。

同时，重新定义GRC专业人员的角色也至关重要。他们不应仅仅是合规执行者，而应成为具备网络安全知识的风险合作伙伴，这种转变不仅仅是内部技能的提升，更是关于在各方之间创造共同的清晰性。

真正的TPRM不仅仅是评估供应商的安全性，更是确保买方也知道自己的责任。当双方都明白自己所承担的责任时，这种关系就从合规剧场转变为真正的联合防御。

已经接管TPRM的勾选框心态是我们造成的问题，但也是我们有能力解决的问题。通过采用一种更周到、更具战略性的TPRM方法，企业可以超越主导当前实践的合规驱动过程，将TPRM重新确立为其安全计划中不可或缺的一部分，这需要我们挑战现状，投资于全面、基于风险的策略，以确保我们的数字安全得到真正的保障。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。