{ "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "answer": "【检索结果汇总】\n\n查询问题：供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？\n\n检索到 64 个相关段落：\n\n【事件信息】\n\n事件1：第三方风险管理（TPRM）是供应链风险管理领域的关键要素\n\n事件2：供应链风险管理包括对潜在威胁及其相关风险的严格识别、评估、优先级排序以及缓解措施\n\n事件3：常见的供应中断、需求波动、质量问题、物流延迟等\n\n事件4：企业从察觉数据泄露到解决问题的平均持续时间约为197天\n\n事件5：各环节之间存在紧密且高度的互相依存关系\n\n事件6：伴随的风险来源会更加广泛和复杂\n\n事件7：与供应链内的外部实体合作\n\n事件8：高度互联时代网络风险成为了供应链上各个节点不可避免的问题\n\n事件9：导致重大的经济损失和声誉损害\n\n事件10：数据泄露是企业面临的一个严重的网络安全风险\n\n事件11：各环节之间的互相依存关系\n\n事件12：诸多新的风险因素\n\n事件13：不同的行业组织\n\n事件14：供应链内的外部实体合作\n\n事件15：带来了诸多新的风险因素\n\n事件16：供应链风险管理领域的关键要素\n\n事件17：供应链的运营模式发生了重大变革，构建起高度互联的网络体系\n\n事件18：在上下游进行交互\n\n事件19：企业面临严重的网络安全风险\n\n事件20：高度互联时代\n\n事件21：随着攻击手段的升级而逐渐增加\n\n事件22：当企业数据泄露时\n\n事件23：供应链的运营模式发生了重大变革\n\n事件24：构建起高度互联的网络体系\n\n事件25：情报中心从9月初观察到相关恶意域名访问量陡增，到10月底，恶意payload程序开始出现，包括伪装成更新程序和Flash等的木马病毒，攻击者甚至模仿Chrome浏览器的报错页面制作了证书更新的钓鱼网站。\n\n事件26：企业对网络风险的重视程度不足，尚未建立起完善的管理体系\n\n事件27：提供云上资源自助、自动构建、自动发布、自动运维、快速扩容、多环境一致等场景\n\n事件28：某情报中心发布技术分析，称包括国内最大IT社区在内的多个网站遭到挂马，用来传播木马病毒和钓鱼网站。\n\n事件29：数据泄露导致的重大经济损失、声誉损害及潜在的监管和法律后果\n\n事件30：恶意软件攻击包括病毒、爬虫、木马和勒索软件。\n\n事件31：覆盖介质下发、压测发起、实验编排、故障演练、实验观测、环境恢复、报告生产等功能\n\n事件32：在供应链网络的边界部署防火墙、入侵检测/预防系统（IDS/IPS）\n\n事件33：能源化工产业链涉及上游能源的开采和运输，中游化学反应和产品加工，下游产品的销售和使用\n\n事件34：使用RA风险评估方法进行资源和业务系统风险分析\n\n事件35：黑客通过利用CDN向使用该CDN的网站进行投毒，用户访问时可能被带到钓鱼网站并诱导下载恶意软件。\n\n事件36：智能物流设备如GPS跟踪器、物联网传感器等可能被攻击，攻击者可以通过入侵这些设备来获取货物的运输路线、时间等信息，甚至可以篡改运输指令。\n\n事件37：重视供应链网络风险，并逐步将相关的风险评估、防范及管理措施融入日常运营中\n\n事件38：综合考虑评估因素\n\n事件39：BCM RA风险评估的重要性\n\n事件40：评估风险影响\n\n事件41：恶意软件和勒索软件的在市场上的流通正在不断增加，主要目的是非法获取信息，操纵内部数据，或删除重要信息。\n\n事件42：这些安全事件的数量和严重程度随着攻击手段的升级而逐渐增加\n\n事件43：能源化工行业的主数据建设周期较长，涵盖多个业态如工程建设、能源开采、炼化、精细化工等\n\n事件44：利用BCM中的RA方法进行自检\n\n事件45：未来供应链网络可能面临更多新型复杂的威胁，如量子计算技术的发展可能对现有加密技术构成威胁\n\n事件46：面对复杂多变的网络环境以及新型网络风险时，其风险评估的准确性、防范措施的及时性和有效性还有待进一步提升，管理体系的动态适应性也需要不断加强\n\n事件47：能源化工行业主数据管理包括利用石油、天然气和煤等基础能源资源制备二次能源和化工产品\n\n事件48：公司各业务情况不同，难以推行统一合同、协议模板\n\n事件49：监管部门尚未发布第三方数据安全管理相关标准、文件\n\n事件50：隐私计算技术在第三方管理中的应用场景待明确\n\n事件51：第三方安全措施落实情况查验难\n\n事件52：第三方方管理安全性和可落地性统筹难\n\n事件53：第三方背景关系和安全资质能力审查渠道少\n\n事件54：数据处理协议与实际数据处理场景映射不全\n\n事件55：解释RPN的计算方式\n\n事件56：量子计算技术的发展可能会对现有的加密技术构成威胁\n\n事件57：确定应用程序响应和恢复程序\n\n事件58：为制造商和供应商在内的所有第三方供应商制定网络安全应急响应计划\n\n事件59：部分企业面临的风险评估准确性、防范措施及时性和有效性有待提升\n\n事件60：197天\n\n\n\n【段落信息】\n\n段落1：# 供应链风险管理之网络风险在当今数字化迅猛发展的时代背景下，供应链的运营模式发生了重大变革，其逐渐构建起高度互联的网络体系，各环节之间存在着紧密且高度的互相依存关系，同时也不可避免地带来了诸多新的风险因素。 ## 一、什么是供应链风险管理？供应链风险管理包括对潜在威胁及其相关风险的严格识别、评估、优先级排序以及缓解措施，尤其是第三方风险管理（TPRM）是供应链风险管理领域的关键要素。不同的行业组织通常与供应链内的外部实体合作，包括供应商、承包商或服务提供商，在上下游进行交互的同时，伴随的风险来源会更加广泛和复杂，如常见的供应中断、需求波动、质量问题、物流延迟等。现如今在高度互联时代网络风险成为了供应链上各个节点不可避免的问题。 ## 二、供应链风险管理中的常见的网络风险 ### 1.数据泄露数据泄露是企业面临的一个严重的网络安全风险，且这些安全事件的数量和严重程度随着攻击手段的升级而逐渐增加。当企业数据泄露时，会导致重大的经济损失和声誉损害，以及潜在的监管和法律后果。研究表明，企业从察觉数据泄露到解决问题的平均持续时间约为197 天 $^{\\mathrm{i}}$ 。当企业因供应链安全问题而导致数据泄露时，上述数字往往会增加。\n\n段落2：数字越大，表明风险越大，越值得优先重视和积极改善。RPN 的数值由三个参数相乘得到，分别是严重度(Severity)、发生频率/可能性(Occurrence/ Probability )、识别难易程度(Detection)。在评估后，要综合考虑，严重度和发生度矩阵，严重度和可识别度矩阵，发生频率和可识别度矩阵。还需评估风险和故障对系统的可用性、数据丢失、财务成本和业务中断有什么影响。确定应用程序响应和恢复程序。对于每种故障模式，确定应用程序将如何响应和恢复。考虑在成本与应用程序复杂程度之间作出折衷。评估后，企业应优先考虑高等级故障并定义缓解措施，并不断更新和审查。 ### 2.BCM RA 风险评估是业务连续性管理工作中的重要环节，是对各方面风险进行辨识和分析的过程，是对威胁、资源、脆弱性及三者相互作用的结果进行评估。评估关键资源所面临的风险及风险等级，并针对高风险等级事项提出风险处置建议。在进行混沌工程前可以利用RA风险评估方法对资源和业务系统进行风险分析，利用风险评估模型提早识别出威胁和脆弱性，计量出风险分值之后，按照分值从高到底排序，在混沌工程开展时，风险分值比较高的资源和业务系统作为重点实验对象。\n\n段落3：# 数据合作方管理：走向精细化，缺乏评估依据\\n\\n中国·北京 12.20-12.21 回归数据本质应用驱动治理\\n\\n2023数据资产管理大会\\n\\n* 因合作方安全能力参差不齐导致数据安全事件频发：83%的泄露事件来自外部人员（Verizon）。\\n\\n* 随着数据合作场景日益复杂，虽然大部分受访企业已开展部分合作方管理工作，但传统的“一刀切”管理模式已不再适用。\\n\\n* 企业缺乏对外部数据合作方进行评估和监督的依据，数据合作方评估缺乏针对性框架。\\n\\n### 数据安全需求侧合作方管理工作开展情况\\n\\n| | | |\\n\\n| :-------------------------- | :------------------ | :------------------ |\\n\\n| 通过合同、协议等对合作方进行约束 | | 89.3% |\\n\\n| 制定了合作方的管理要求 | | 57.3% |\\n\\n| 定期对合作方数据安全保护能力进行检查 | | 40.0% |\\n\\n| 合作开始前对合作方进行尽职调查 | | 50.7% |\\n\\n| 通过合作方管理系统等工具，对合作方进行统一管理 | | 58.7% |\\n\\n| 其他 | | 2.7% |\\n\\n| 未开展 | | 4.0% |\\n\\n### 数据安全需求侧合作方管理工作面临的痛难点\\n\\n| | | |\\n\\n| :-------------------------- | :------------------ | :------------------ |\\n\\n| 公司各业务情况不同，难以推行统一合同、协议模板 | | 49.3% |\\n\\n| 监管部门尚未发布第三方数据安全管理相关标准、文件 | | 45.3% |\\n\\n| 第三方安全评估和监督专业人才缺失 | | 26.7% |\\n\\n| 隐私计算技术在第三方管理中的应用场景待明确 | | 38.7% |\\n\\n| 第三方安全措施落实情况查验难 | | 53.3% |\\n\\n| 第三方方管理安全性和可落地性统筹难 | | 42.7% |\\n\\n| 第三方背景关系和安全资质能力审查渠道少 | | 28.0% |\\n\\n| 数据处理协议与实际数据处理场景映射不全 | | 24.0% |\\n\\n| 其他 | | 1.3% |\\n\\n| 未开展 | | 4.0% |\n\n段落4：评估关键资源所面临的风险及风险等级，并针对高风险等级事项提出风险处置建议。在进行混沌工程前可以利用RA风险评估方法对资源和业务系统进行风险分析，利用风险评估模型提早识别出威胁和脆弱性，计量出风险分值之后，按照分值从高到底排序，在混沌工程开展时，风险分值比较高的资源和业务系统作为重点实验对象。混沌工程前利用BCM 中的RA 方法进行自检的价值：建立对业务运行环境的整体认识，了解业务连续运行所面临的各类潜在风险因素，识别影响业务大范围中断的关键风险场景；分析各业务系统运行所面临的首要风险场景，识别风险发生的可能性，并定性描述可能造成的损失；根据风险评估结果，对关键风险场景提出风险管控措施，对于处置后仍在不可接受范围内的残余风险提出进一步处置策略，可围绕评估出的关键风险场景，在专项预案编制过程中有针对性的进行应急处置流程设计，同时可以作为混沌工程实验的重点。 ### 3.FTA 故障树是一种特殊的倒立树状的逻辑因果关系图。故障树分析（Fault Tree Analysis, FTA）是以一个不希望发生的产品故障事件或灾害性危险事件即顶事件作为分析的对象，通过由上向下的严格按层次的故障因果逻辑分析，逐层找出故障事件的必要而充分的直接原因，画出故障树，最终找出导致顶事件发生的所有可能原因和原因组合，在有基础数据时可计算出顶事件发生的概率和底事件重要度。 ![](images/a9b5af5b974c4d25d0358df03bf4db87886abf29c36d52b0abe72300649ded7d.jpg) 1961 年, FTA 由美国贝尔电话研究室的华特先生首先提出的。\n\n\n相关子查询：\n供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？、在供应链风险管理中，第三方风险管理（TPRM）具体包括哪些实践和策略？\n\n检索统计：\n- 查询复杂度：{'is_complex': True, 'complexity_level': 'complex', 'confidence': 0.95, 'reason': '这是一个复杂查询，因为它涉及到供应链风险管理领域的特定子领域——第三方风险管理（TPRM），并且需要了解TPRM在该领域的重要性。可能需要查找相关文献、行业报告或者专业文章来理解TPRM为何被视为关键要素。这种查询通常需要生成多个子查询，分别针对TPRM的定义、作用、案例研究以及它如何影响供应链风险管理的整体策略等方面进行深入探究。'}\n- 是否复杂查询：True\n- 迭代次数：0\n- 信息充分性：True\n", "query_complexity": { "is_complex": true, "complexity_level": "complex", "confidence": 0.95, "reason": "这是一个复杂查询，因为它涉及到供应链风险管理领域的特定子领域——第三方风险管理（TPRM），并且需要了解TPRM在该领域的重要性。可能需要查找相关文献、行业报告或者专业文章来理解TPRM为何被视为关键要素。这种查询通常需要生成多个子查询，分别针对TPRM的定义、作用、案例研究以及它如何影响供应链风险管理的整体策略等方面进行深入探究。" }, "is_complex_query": true, "retrieval_path": "complex_hipporag", "iterations": 0, "total_passages": 64, "sub_queries": [ "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "在供应链风险管理中，第三方风险管理（TPRM）具体包括哪些实践和策略？" ], "decomposed_sub_queries": [ "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "在供应链风险管理中，第三方风险管理（TPRM）具体包括哪些实践和策略？" ], "initial_retrieval_details": {}, "sufficiency_check": { "is_sufficient": true, "confidence": 0.9, "reason": "事件信息和段落信息包含了回答查询所需的关键内容...", "iteration": 0 }, "current_sub_queries": [], "is_sufficient": true, "all_documents": [ { "page_content": "第三方风险管理（TPRM）是供应链风险管理领域的关键要素", "metadata": { "node_id": "ea76fd577ea174ce04eb0e52504357fd97f409c7d5392f9328dec7f88ba7ea21", "node_type": "event", "ppr_score": 0.06638477053909855, "edge_score": 1.963371, "passage_score": 0.0, "rank": 1, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "供应链风险管理包括对潜在威胁及其相关风险的严格识别、评估、优先级排序以及缓解措施", "metadata": { "node_id": "210a4ebebda2e28c3a9dbde7c8af083674fd259876c843712fbb3cfbbbc3c8d5", "node_type": "event", "ppr_score": 0.008335125992632423, "edge_score": 0.0, "passage_score": 0.0, "rank": 2, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "常见的供应中断、需求波动、质量问题、物流延迟等", "metadata": { "node_id": "2e68213ad9976724385388b22d8f19b81d25860b9dd82000cbc5a560abd36952", "node_type": "event", "ppr_score": 0.007132268661563364, "edge_score": 0.0, "passage_score": 0.0, "rank": 3, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "企业从察觉数据泄露到解决问题的平均持续时间约为197天", "metadata": { "node_id": "8f00e90d0b24d2b27c401edf8d9741a54b5018e90db2168f34734fd91d0a5a30", "node_type": "event", "ppr_score": 0.004700194840726421, "edge_score": 0.0, "passage_score": 0.0, "rank": 4, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "各环节之间存在紧密且高度的互相依存关系", "metadata": { "node_id": "0961b1fc42ba03805aee0fb8c5c18926ee4ea6e3d72a935e6baa25a89f224768", "node_type": "event", "ppr_score": 0.0046334259469369195, "edge_score": 0.0, "passage_score": 0.0, "rank": 5, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "伴随的风险来源会更加广泛和复杂", "metadata": { "node_id": "4710ccf6c003b31464f0d72794446fa53c7cf6a08db2377e30c32f38dccb52e2", "node_type": "event", "ppr_score": 0.0046334259469369195, "edge_score": 0.0, "passage_score": 0.0, "rank": 6, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "与供应链内的外部实体合作", "metadata": { "node_id": "b1caa5e125693638af4b77ab06d5fa0761f753736beadf8f6c0a61e1cd3dc96a", "node_type": "event", "ppr_score": 0.0046334259469369195, "edge_score": 0.0, "passage_score": 0.0, "rank": 7, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "高度互联时代网络风险成为了供应链上各个节点不可避免的问题", "metadata": { "node_id": "b9c3d9eac37929e1b825e66eb803844dbcd06cd3d8e6ce08d534a3279c07037a", "node_type": "event", "ppr_score": 0.004183413837044361, "edge_score": 0.0, "passage_score": 0.0, "rank": 8, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "导致重大的经济损失和声誉损害", "metadata": { "node_id": "bf9765c5e8e33e4dbaafcb0cd72e1d7f431771778c4a8cfcdfd55797da9c3b38", "node_type": "event", "ppr_score": 0.00414592234474318, "edge_score": 0.0, "passage_score": 0.0, "rank": 9, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "数据泄露是企业面临的一个严重的网络安全风险", "metadata": { "node_id": "f1595af5edabfc6a1c1e14d05be6e70a5b84036ba48fdcef566100cbbbff434f", "node_type": "event", "ppr_score": 0.0035983269001959423, "edge_score": 0.0, "passage_score": 0.0, "rank": 10, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "各环节之间的互相依存关系", "metadata": { "node_id": "3dac2ecb79b7aa8562aa1f711a32e1ed0a2e4c0d1d385ff90d5a776becccb3ba", "node_type": "event", "ppr_score": 0.003344848758338625, "edge_score": 0.0, "passage_score": 0.0, "rank": 11, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "诸多新的风险因素", "metadata": { "node_id": "0be3e13044224014554c5d0caeb35b4ed2e71485515558495b193963ec8af7e3", "node_type": "event", "ppr_score": 0.003344848758338625, "edge_score": 0.0, "passage_score": 0.0, "rank": 12, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "不同的行业组织", "metadata": { "node_id": "7036386f1f2751bc9b4c7f9a7eb9fc9f482959f6abbf2690e0afbe04347b15c0", "node_type": "event", "ppr_score": 0.003344848758338625, "edge_score": 0.0, "passage_score": 0.0, "rank": 13, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "供应链内的外部实体合作", "metadata": { "node_id": "26d0c34a861cadaa3c2d60b1d5529cd309d3a50c1e26c83c596cc192923eff69", "node_type": "event", "ppr_score": 0.003344848758338625, "edge_score": 0.0, "passage_score": 0.0, "rank": 14, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "带来了诸多新的风险因素", "metadata": { "node_id": "a0eddaff33b8055633198581e198d3f4dced64e72592d42f8b8e2d467b7346e9", "node_type": "event", "ppr_score": 0.003344848758338625, "edge_score": 0.0, "passage_score": 0.0, "rank": 15, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "供应链风险管理领域的关键要素", "metadata": { "node_id": "3d4128c914db739043e979c857022a55715ec2be88208cff561c0344291c159d", "node_type": "event", "ppr_score": 0.0033280312618828513, "edge_score": 0.0, "passage_score": 0.0, "rank": 16, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "供应链的运营模式发生了重大变革，构建起高度互联的网络体系", "metadata": { "node_id": "1e3762de3b7a539404b65fafd14e6c903bfc357d3e38e4f8f29712c2741c01f5", "node_type": "event", "ppr_score": 0.003232444357088289, "edge_score": 0.0, "passage_score": 0.0, "rank": 17, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "在上下游进行交互", "metadata": { "node_id": "b79bab8cc754a6c4506d482589e80cb1814325c602ac30617edb73735bfe52c2", "node_type": "event", "ppr_score": 0.003232444357088289, "edge_score": 0.0, "passage_score": 0.0, "rank": 18, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "企业面临严重的网络安全风险", "metadata": { "node_id": "a7226b137146ebcc1baea3a1a179952ea0a9ffbdc1f1013ffcae4258d7aba326", "node_type": "event", "ppr_score": 0.003145330898794925, "edge_score": 0.0, "passage_score": 0.0, "rank": 19, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "高度互联时代", "metadata": { "node_id": "a177e0fe7f50d6b8f2c206fd9c49fe426d68eb6c60fdc02e5416ebb6266291d3", "node_type": "event", "ppr_score": 0.003109012305676972, "edge_score": 0.0, "passage_score": 0.0, "rank": 20, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "随着攻击手段的升级而逐渐增加", "metadata": { "node_id": "577cbe1f510dee21d6fcedf3b996b6772448e54d0c52b5dd75911647f41946cd", "node_type": "event", "ppr_score": 0.002951701399900913, "edge_score": 0.0, "passage_score": 0.0, "rank": 21, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "当企业数据泄露时", "metadata": { "node_id": "ffe22ff3dca3d0470af2a8838c29594340ef922ec4d90dd9376cd7f4fa497cca", "node_type": "event", "ppr_score": 0.00270262190227085, "edge_score": 0.0, "passage_score": 0.0, "rank": 22, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "供应链的运营模式发生了重大变革", "metadata": { "node_id": "346c042e00206c28121841cb9d02fbd56a8ed6dafb589a8cc640bcf74c779bb6", "node_type": "event", "ppr_score": 0.0021972210262265405, "edge_score": 0.0, "passage_score": 0.0, "rank": 23, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "构建起高度互联的网络体系", "metadata": { "node_id": "3ec93a87a89cefe51237191e6741f0e7d56011aae624114be25d1caee75e4213", "node_type": "event", "ppr_score": 0.0021972210262265405, "edge_score": 0.0, "passage_score": 0.0, "rank": 24, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "情报中心从9月初观察到相关恶意域名访问量陡增，到10月底，恶意payload程序开始出现，包括伪装成更新程序和Flash等的木马病毒，攻击者甚至模仿Chrome浏览器的报错页面制作了证书更新的钓鱼网站。", "metadata": { "node_id": "ede7370e9158593bd04335684cafdca79f112a3ae24ba8f96b5cd4dc6413e7dd", "node_type": "event", "ppr_score": 0.0016033616909552977, "edge_score": 0.0, "passage_score": 0.0, "rank": 25, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "企业对网络风险的重视程度不足，尚未建立起完善的管理体系", "metadata": { "node_id": "b31b628a748d9d79ef5e93d47481b311dbc1ed7f1a4f48a6f416ff1bab0ce68d", "node_type": "event", "ppr_score": 0.00143106161308387, "edge_score": 0.0, "passage_score": 0.0, "rank": 26, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "提供云上资源自助、自动构建、自动发布、自动运维、快速扩容、多环境一致等场景", "metadata": { "node_id": "4db3dd15b7dfb9daa8fd090a05b57bc3db3ebcbf8916add1346263fda16de2e1", "node_type": "event", "ppr_score": 0.0014147322436946844, "edge_score": 0.0, "passage_score": 0.0, "rank": 27, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "某情报中心发布技术分析，称包括国内最大IT社区在内的多个网站遭到挂马，用来传播木马病毒和钓鱼网站。", "metadata": { "node_id": "60334e38510a28ea91081b5b308c730688a0ae2f9fe37bb19c5b68a23450ddd6", "node_type": "event", "ppr_score": 0.001351848141928692, "edge_score": 0.0, "passage_score": 0.0, "rank": 28, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "数据泄露导致的重大经济损失、声誉损害及潜在的监管和法律后果", "metadata": { "node_id": "56edbaff59f17b3a703c97efbeae937e1ff53baaed4bfd6235c15b94268c9da2", "node_type": "event", "ppr_score": 0.0013435122723095604, "edge_score": 0.0, "passage_score": 0.0, "rank": 29, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "恶意软件攻击包括病毒、爬虫、木马和勒索软件。", "metadata": { "node_id": "30d2d88bb49b154c02cdd99d1bc22d4a87acaa970fb5b756f1020d77e550d52e", "node_type": "event", "ppr_score": 0.0013040774993935194, "edge_score": 0.0, "passage_score": 0.0, "rank": 30, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "覆盖介质下发、压测发起、实验编排、故障演练、实验观测、环境恢复、报告生产等功能", "metadata": { "node_id": "013ba8e6f4465423281cfba080026f5e1cb76bf3385f7df961c9fa8234a7cf12", "node_type": "event", "ppr_score": 0.0012681420254179847, "edge_score": 0.0, "passage_score": 0.0, "rank": 31, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "在供应链网络的边界部署防火墙、入侵检测/预防系统（IDS/IPS）", "metadata": { "node_id": "9e121286926372c57fae1a171e9ce57a69ffb0f24cf3491f187eedf7ccf6787d", "node_type": "event", "ppr_score": 0.0012395018291366396, "edge_score": 0.0, "passage_score": 0.0, "rank": 32, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "能源化工产业链涉及上游能源的开采和运输，中游化学反应和产品加工，下游产品的销售和使用", "metadata": { "node_id": "63648645a902a30f030223f3590533af4bfdb066e6244ee635a959c1d886c5ba", "node_type": "event", "ppr_score": 0.0012026828197844847, "edge_score": 0.0, "passage_score": 0.0, "rank": 33, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "使用RA风险评估方法进行资源和业务系统风险分析", "metadata": { "node_id": "84529aaf0dc696f4b6178703b7cf2a1baa2d4ba5c6ed32294f32b9169c92c673", "node_type": "event", "ppr_score": 0.00119937881923294, "edge_score": 0.0, "passage_score": 0.0, "rank": 34, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "黑客通过利用CDN向使用该CDN的网站进行投毒，用户访问时可能被带到钓鱼网站并诱导下载恶意软件。", "metadata": { "node_id": "0744dc33b08d04d0b874cd616bc6faffab8a5337db5aa35261855b29dc5b7b1e", "node_type": "event", "ppr_score": 0.0011980127395420067, "edge_score": 0.0, "passage_score": 0.0, "rank": 35, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "智能物流设备如GPS跟踪器、物联网传感器等可能被攻击，攻击者可以通过入侵这些设备来获取货物的运输路线、时间等信息，甚至可以篡改运输指令。", "metadata": { "node_id": "22e7184310ca40339b66bfa7dd232fe6c6dd21d7f52a25093b1d17a2d986186f", "node_type": "event", "ppr_score": 0.001171383631561611, "edge_score": 0.0, "passage_score": 0.0, "rank": 36, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "重视供应链网络风险，并逐步将相关的风险评估、防范及管理措施融入日常运营中", "metadata": { "node_id": "3d9b0bac6dd4a8d3768b5eab25fbb5bfde67e1ca19a1c33a101dcb985f6d0af3", "node_type": "event", "ppr_score": 0.0011309449135546948, "edge_score": 0.0, "passage_score": 0.0, "rank": 37, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "综合考虑评估因素", "metadata": { "node_id": "ad002bd57829d53c4587f8c8070eccc1287442cbf45d92640c1e764ca329c92b", "node_type": "event", "ppr_score": 0.001091809799481008, "edge_score": 0.0, "passage_score": 0.0, "rank": 38, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "BCM RA风险评估的重要性", "metadata": { "node_id": "b5e7d268e2c8abae824ea4813c4cbc8e664940b8cffcd175a91c017a8a80dfa1", "node_type": "event", "ppr_score": 0.001091809799481008, "edge_score": 0.0, "passage_score": 0.0, "rank": 39, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "评估风险影响", "metadata": { "node_id": "1bd5630f2446bf44d2e894494f7c5bede977eabe1112d9c46214a07664e63bfc", "node_type": "event", "ppr_score": 0.0010826686067921803, "edge_score": 0.0, "passage_score": 0.0, "rank": 40, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "恶意软件和勒索软件的在市场上的流通正在不断增加，主要目的是非法获取信息，操纵内部数据，或删除重要信息。", "metadata": { "node_id": "e2354406046466b408235b459f3e2329d264e261f944379005444e8847439530", "node_type": "event", "ppr_score": 0.001080669691427696, "edge_score": 0.0, "passage_score": 0.0, "rank": 41, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "这些安全事件的数量和严重程度随着攻击手段的升级而逐渐增加", "metadata": { "node_id": "5ffdbe5d72c832b449e0822b959f83ca76db4f31db5b26988dbf55c559fa89a5", "node_type": "event", "ppr_score": 0.0010248518554368182, "edge_score": 0.0, "passage_score": 0.0, "rank": 42, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "能源化工行业的主数据建设周期较长，涵盖多个业态如工程建设、能源开采、炼化、精细化工等", "metadata": { "node_id": "256b5a27ca223ff76c6450a4cb66b14cd8f0958158d5843bf490c2e8b41e7415", "node_type": "event", "ppr_score": 0.0010202134674837152, "edge_score": 0.0, "passage_score": 0.0, "rank": 43, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "利用BCM中的RA方法进行自检", "metadata": { "node_id": "51874f7822d6c451baa551636c486e33418f91b3ba67e0fc96fda1265743ac5d", "node_type": "event", "ppr_score": 0.0009829456515068795, "edge_score": 0.0, "passage_score": 0.0, "rank": 44, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "未来供应链网络可能面临更多新型复杂的威胁，如量子计算技术的发展可能对现有加密技术构成威胁", "metadata": { "node_id": "5611a2e3530f92ddcf87f4f49c7d70e0c5703eafbda3bdd428d8c00d45d4e23a", "node_type": "event", "ppr_score": 0.0009809213235613071, "edge_score": 0.0, "passage_score": 0.0, "rank": 45, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "面对复杂多变的网络环境以及新型网络风险时，其风险评估的准确性、防范措施的及时性和有效性还有待进一步提升，管理体系的动态适应性也需要不断加强", "metadata": { "node_id": "b9c0fbffbd0d55a82a59409b2ea071b9df862299b5512662aae1a3e618d6d9a9", "node_type": "event", "ppr_score": 0.0009572892581799643, "edge_score": 0.0, "passage_score": 0.0, "rank": 46, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "能源化工行业主数据管理包括利用石油、天然气和煤等基础能源资源制备二次能源和化工产品", "metadata": { "node_id": "475833da38132a5da55dab67fbb1d6b424eb9379003879877c16061971dc8e33", "node_type": "event", "ppr_score": 0.000932996502191322, "edge_score": 0.0, "passage_score": 0.0, "rank": 47, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "公司各业务情况不同，难以推行统一合同、协议模板", "metadata": { "node_id": "ac1e1c250f818601ac797b2b3ed5aaf9a071b0278fb4be22f50ec8122289bedf", "node_type": "event", "ppr_score": 0.0009313326007186536, "edge_score": 0.0, "passage_score": 0.0, "rank": 48, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "监管部门尚未发布第三方数据安全管理相关标准、文件", "metadata": { "node_id": "b72d95d6e2d494b62d71923af436633ff3d1c7ac37d056e3488f466d448f175d", "node_type": "event", "ppr_score": 0.0009313326007186536, "edge_score": 0.0, "passage_score": 0.0, "rank": 49, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "隐私计算技术在第三方管理中的应用场景待明确", "metadata": { "node_id": "30a716b2ad9289893af6ccf9ec565fb21e0bd13d125c041fb76de0cae2ed46f3", "node_type": "event", "ppr_score": 0.0009313326007186536, "edge_score": 0.0, "passage_score": 0.0, "rank": 50, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "第三方安全措施落实情况查验难", "metadata": { "node_id": "231f6f904e017190c477b85dd192cbb145cf27176a9ce1c393a2068a6fc10293", "node_type": "event", "ppr_score": 0.0009313326007186536, "edge_score": 0.0, "passage_score": 0.0, "rank": 51, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "第三方方管理安全性和可落地性统筹难", "metadata": { "node_id": "0fcb9fb805013a003e01fa41fce7fad9d62fedaa665de7e0db615e063b5e8817", "node_type": "event", "ppr_score": 0.0009313326007186536, "edge_score": 0.0, "passage_score": 0.0, "rank": 52, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "第三方背景关系和安全资质能力审查渠道少", "metadata": { "node_id": "8a11a9395a180b8cc65552c3017e68a819a94f49b3d9a55eb8c4c4ae87b894c7", "node_type": "event", "ppr_score": 0.0009313326007186536, "edge_score": 0.0, "passage_score": 0.0, "rank": 53, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "数据处理协议与实际数据处理场景映射不全", "metadata": { "node_id": "ed58e7ce144b2ed47077dfe586f46c5e1b7b01a363a36871c0c10ed36a2081cc", "node_type": "event", "ppr_score": 0.0009313326007186536, "edge_score": 0.0, "passage_score": 0.0, "rank": 54, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "解释RPN的计算方式", "metadata": { "node_id": "0fb4890e94e695f431d0a99e05014cb1161679f5faf3cad2a9e37721708c6977", "node_type": "event", "ppr_score": 0.000916861960518086, "edge_score": 0.0, "passage_score": 0.0, "rank": 55, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "量子计算技术的发展可能会对现有的加密技术构成威胁", "metadata": { "node_id": "41a4280e887c01234d1b45eb51e09e76fff73b4eab3fb09e881ef3af889eb112", "node_type": "event", "ppr_score": 0.0009091840448154188, "edge_score": 0.0, "passage_score": 0.0, "rank": 56, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "确定应用程序响应和恢复程序", "metadata": { "node_id": "80c095eee24a433e5aff2c626a6926b18aedc0cff308a861e5ed5de4d1310db0", "node_type": "event", "ppr_score": 0.0009038077302941089, "edge_score": 0.0, "passage_score": 0.0, "rank": 57, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "为制造商和供应商在内的所有第三方供应商制定网络安全应急响应计划", "metadata": { "node_id": "bb9991da3b508a41ee7bf598b5009ca892cdd1b439e3fe487dc120d764bb837a", "node_type": "event", "ppr_score": 0.0008668622549952926, "edge_score": 0.0, "passage_score": 0.0, "rank": 58, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "部分企业面临的风险评估准确性、防范措施及时性和有效性有待提升", "metadata": { "node_id": "832821495ed95ff21c3fdd51481aae0de20593e75e02de092cdfdc887f4e2068", "node_type": "event", "ppr_score": 0.0008644479216597717, "edge_score": 0.0, "passage_score": 0.0, "rank": 59, "source": "hipporag2_langchain_event", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "# 供应链风险管理之网络风险在当今数字化迅猛发展的时代背景下，供应链的运营模式发生了重大变革，其逐渐构建起高度互联的网络体系，各环节之间存在着紧密且高度的互相依存关系，同时也不可避免地带来了诸多新的风险因素。 ## 一、什么是供应链风险管理？供应链风险管理包括对潜在威胁及其相关风险的严格识别、评估、优先级排序以及缓解措施，尤其是第三方风险管理（TPRM）是供应链风险管理领域的关键要素。不同的行业组织通常与供应链内的外部实体合作，包括供应商、承包商或服务提供商，在上下游进行交互的同时，伴随的风险来源会更加广泛和复杂，如常见的供应中断、需求波动、质量问题、物流延迟等。现如今在高度互联时代网络风险成为了供应链上各个节点不可避免的问题。 ## 二、供应链风险管理中的常见的网络风险 ### 1.数据泄露数据泄露是企业面临的一个严重的网络安全风险，且这些安全事件的数量和严重程度随着攻击手段的升级而逐渐增加。当企业数据泄露时，会导致重大的经济损失和声誉损害，以及潜在的监管和法律后果。研究表明，企业从察觉数据泄露到解决问题的平均持续时间约为197 天 $^{\\mathrm{i}}$ 。当企业因供应链安全问题而导致数据泄露时，上述数字往往会增加。", "metadata": { "node_id": "d083eb755ce88432eb534e9e2e371447c094cde70a4094f8778f80b93451cb6e", "node_type": "text", "ppr_score": 0.11796797379357503, "edge_score": 0.0, "passage_score": 0.6443694121188374, "rank": 60, "source": "hipporag2_langchain_text", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "数字越大，表明风险越大，越值得优先重视和积极改善。RPN 的数值由三个参数相乘得到，分别是严重度(Severity)、发生频率/可能性(Occurrence/ Probability )、识别难易程度(Detection)。在评估后，要综合考虑，严重度和发生度矩阵，严重度和可识别度矩阵，发生频率和可识别度矩阵。还需评估风险和故障对系统的可用性、数据丢失、财务成本和业务中断有什么影响。确定应用程序响应和恢复程序。对于每种故障模式，确定应用程序将如何响应和恢复。考虑在成本与应用程序复杂程度之间作出折衷。评估后，企业应优先考虑高等级故障并定义缓解措施，并不断更新和审查。 ### 2.BCM RA 风险评估是业务连续性管理工作中的重要环节，是对各方面风险进行辨识和分析的过程，是对威胁、资源、脆弱性及三者相互作用的结果进行评估。评估关键资源所面临的风险及风险等级，并针对高风险等级事项提出风险处置建议。在进行混沌工程前可以利用RA风险评估方法对资源和业务系统进行风险分析，利用风险评估模型提早识别出威胁和脆弱性，计量出风险分值之后，按照分值从高到底排序，在混沌工程开展时，风险分值比较高的资源和业务系统作为重点实验对象。", "metadata": { "node_id": "7ddb41a16d2c78b1aa5d3524ba9b717ee8a0f32b54947624fa1785987747b161", "node_type": "text", "ppr_score": 0.022098986747437876, "edge_score": 0.0, "passage_score": 0.5942766328742587, "rank": 61, "source": "hipporag2_langchain_text", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "# 数据合作方管理：走向精细化，缺乏评估依据\\n\\n中国·北京 12.20-12.21 回归数据本质应用驱动治理\\n\\n2023数据资产管理大会\\n\\n* 因合作方安全能力参差不齐导致数据安全事件频发：83%的泄露事件来自外部人员（Verizon）。\\n\\n* 随着数据合作场景日益复杂，虽然大部分受访企业已开展部分合作方管理工作，但传统的“一刀切”管理模式已不再适用。\\n\\n* 企业缺乏对外部数据合作方进行评估和监督的依据，数据合作方评估缺乏针对性框架。\\n\\n### 数据安全需求侧合作方管理工作开展情况\\n\\n| | | |\\n\\n| :-------------------------- | :------------------ | :------------------ |\\n\\n| 通过合同、协议等对合作方进行约束 | | 89.3% |\\n\\n| 制定了合作方的管理要求 | | 57.3% |\\n\\n| 定期对合作方数据安全保护能力进行检查 | | 40.0% |\\n\\n| 合作开始前对合作方进行尽职调查 | | 50.7% |\\n\\n| 通过合作方管理系统等工具，对合作方进行统一管理 | | 58.7% |\\n\\n| 其他 | | 2.7% |\\n\\n| 未开展 | | 4.0% |\\n\\n### 数据安全需求侧合作方管理工作面临的痛难点\\n\\n| | | |\\n\\n| :-------------------------- | :------------------ | :------------------ |\\n\\n| 公司各业务情况不同，难以推行统一合同、协议模板 | | 49.3% |\\n\\n| 监管部门尚未发布第三方数据安全管理相关标准、文件 | | 45.3% |\\n\\n| 第三方安全评估和监督专业人才缺失 | | 26.7% |\\n\\n| 隐私计算技术在第三方管理中的应用场景待明确 | | 38.7% |\\n\\n| 第三方安全措施落实情况查验难 | | 53.3% |\\n\\n| 第三方方管理安全性和可落地性统筹难 | | 42.7% |\\n\\n| 第三方背景关系和安全资质能力审查渠道少 | | 28.0% |\\n\\n| 数据处理协议与实际数据处理场景映射不全 | | 24.0% |\\n\\n| 其他 | | 1.3% |\\n\\n| 未开展 | | 4.0% |", "metadata": { "node_id": "ca83deb3d2fe710f2aa292dd64bc628c030e25d2dce805c4e17bfb2aca63c7ee", "node_type": "text", "ppr_score": 0.022073014657721282, "edge_score": 0.0, "passage_score": 0.5972129704014824, "rank": 62, "source": "hipporag2_langchain_text", "query": "供应链风险管理中，第三方风险管理（TPRM）被认为是哪个领域的关键要素？", "pagerank_available": true } }, { "page_content": "197天", "metadata": { "node_id": "936a421c28f64acee3a020401e6919da548480b36973cdc8c7ad6617b67c79b3", "node_type": "event", "ppr_score": 0.0007418603597684665, "edge_score": 0.0, "passage_score": 0.0, "rank": 32, "source": "hipporag2_langchain_event", "query": "在供应链风险管理中，第三方风险管理（TPRM）具体包括哪些实践和策略？", "pagerank_available": true } }, { "page_content": "评估关键资源所面临的风险及风险等级，并针对高风险等级事项提出风险处置建议。在进行混沌工程前可以利用RA风险评估方法对资源和业务系统进行风险分析，利用风险评估模型提早识别出威胁和脆弱性，计量出风险分值之后，按照分值从高到底排序，在混沌工程开展时，风险分值比较高的资源和业务系统作为重点实验对象。混沌工程前利用BCM 中的RA 方法进行自检的价值：建立对业务运行环境的整体认识，了解业务连续运行所面临的各类潜在风险因素，识别影响业务大范围中断的关键风险场景；分析各业务系统运行所面临的首要风险场景，识别风险发生的可能性，并定性描述可能造成的损失；根据风险评估结果，对关键风险场景提出风险管控措施，对于处置后仍在不可接受范围内的残余风险提出进一步处置策略，可围绕评估出的关键风险场景，在专项预案编制过程中有针对性的进行应急处置流程设计，同时可以作为混沌工程实验的重点。 ### 3.FTA 故障树是一种特殊的倒立树状的逻辑因果关系图。故障树分析（Fault Tree Analysis, FTA）是以一个不希望发生的产品故障事件或灾害性危险事件即顶事件作为分析的对象，通过由上向下的严格按层次的故障因果逻辑分析，逐层找出故障事件的必要而充分的直接原因，画出故障树，最终找出导致顶事件发生的所有可能原因和原因组合，在有基础数据时可计算出顶事件发生的概率和底事件重要度。 ![](images/a9b5af5b974c4d25d0358df03bf4db87886abf29c36d52b0abe72300649ded7d.jpg) 1961 年, FTA 由美国贝尔电话研究室的华特先生首先提出的。", "metadata": { "node_id": "28bc0692b60ed668688fd58d9c5163a6e923a177125a5782164888844e061a2e", "node_type": "text", "ppr_score": 0.012319916253511684, "edge_score": 0.0, "passage_score": 0.5910896914635592, "rank": 61, "source": "hipporag2_langchain_text", "query": "在供应链风险管理中，第三方风险管理（TPRM）具体包括哪些实践和策略？", "pagerank_available": true } } ], "all_passages": [ "第三方风险管理（TPRM）是供应链风险管理领域的关键要素", "供应链风险管理包括对潜在威胁及其相关风险的严格识别、评估、优先级排序以及缓解措施", "常见的供应中断、需求波动、质量问题、物流延迟等", "企业从察觉数据泄露到解决问题的平均持续时间约为197天", "各环节之间存在紧密且高度的互相依存关系", "伴随的风险来源会更加广泛和复杂", "与供应链内的外部实体合作", "高度互联时代网络风险成为了供应链上各个节点不可避免的问题", "导致重大的经济损失和声誉损害", "数据泄露是企业面临的一个严重的网络安全风险", "各环节之间的互相依存关系", "诸多新的风险因素", "不同的行业组织", "供应链内的外部实体合作", "带来了诸多新的风险因素", "供应链风险管理领域的关键要素", "供应链的运营模式发生了重大变革，构建起高度互联的网络体系", "在上下游进行交互", "企业面临严重的网络安全风险", "高度互联时代", "随着攻击手段的升级而逐渐增加", "当企业数据泄露时", "供应链的运营模式发生了重大变革", "构建起高度互联的网络体系", "情报中心从9月初观察到相关恶意域名访问量陡增，到10月底，恶意payload程序开始出现，包括伪装成更新程序和Flash等的木马病毒，攻击者甚至模仿Chrome浏览器的报错页面制作了证书更新的钓鱼网站。", "企业对网络风险的重视程度不足，尚未建立起完善的管理体系", "提供云上资源自助、自动构建、自动发布、自动运维、快速扩容、多环境一致等场景", "某情报中心发布技术分析，称包括国内最大IT社区在内的多个网站遭到挂马，用来传播木马病毒和钓鱼网站。", "数据泄露导致的重大经济损失、声誉损害及潜在的监管和法律后果", "恶意软件攻击包括病毒、爬虫、木马和勒索软件。", "覆盖介质下发、压测发起、实验编排、故障演练、实验观测、环境恢复、报告生产等功能", "在供应链网络的边界部署防火墙、入侵检测/预防系统（IDS/IPS）", "能源化工产业链涉及上游能源的开采和运输，中游化学反应和产品加工，下游产品的销售和使用", "使用RA风险评估方法进行资源和业务系统风险分析", "黑客通过利用CDN向使用该CDN的网站进行投毒，用户访问时可能被带到钓鱼网站并诱导下载恶意软件。", "智能物流设备如GPS跟踪器、物联网传感器等可能被攻击，攻击者可以通过入侵这些设备来获取货物的运输路线、时间等信息，甚至可以篡改运输指令。", "重视供应链网络风险，并逐步将相关的风险评估、防范及管理措施融入日常运营中", "综合考虑评估因素", "BCM RA风险评估的重要性", "评估风险影响", "恶意软件和勒索软件的在市场上的流通正在不断增加，主要目的是非法获取信息，操纵内部数据，或删除重要信息。", "这些安全事件的数量和严重程度随着攻击手段的升级而逐渐增加", "能源化工行业的主数据建设周期较长，涵盖多个业态如工程建设、能源开采、炼化、精细化工等", "利用BCM中的RA方法进行自检", "未来供应链网络可能面临更多新型复杂的威胁，如量子计算技术的发展可能对现有加密技术构成威胁", "面对复杂多变的网络环境以及新型网络风险时，其风险评估的准确性、防范措施的及时性和有效性还有待进一步提升，管理体系的动态适应性也需要不断加强", "能源化工行业主数据管理包括利用石油、天然气和煤等基础能源资源制备二次能源和化工产品", "公司各业务情况不同，难以推行统一合同、协议模板", "监管部门尚未发布第三方数据安全管理相关标准、文件", "隐私计算技术在第三方管理中的应用场景待明确", "第三方安全措施落实情况查验难", "第三方方管理安全性和可落地性统筹难", "第三方背景关系和安全资质能力审查渠道少", "数据处理协议与实际数据处理场景映射不全", "解释RPN的计算方式", "量子计算技术的发展可能会对现有的加密技术构成威胁", "确定应用程序响应和恢复程序", "为制造商和供应商在内的所有第三方供应商制定网络安全应急响应计划", "部分企业面临的风险评估准确性、防范措施及时性和有效性有待提升", "# 供应链风险管理之网络风险在当今数字化迅猛发展的时代背景下，供应链的运营模式发生了重大变革，其逐渐构建起高度互联的网络体系，各环节之间存在着紧密且高度的互相依存关系，同时也不可避免地带来了诸多新的风险因素。 ## 一、什么是供应链风险管理？供应链风险管理包括对潜在威胁及其相关风险的严格识别、评估、优先级排序以及缓解措施，尤其是第三方风险管理（TPRM）是供应链风险管理领域的关键要素。不同的行业组织通常与供应链内的外部实体合作，包括供应商、承包商或服务提供商，在上下游进行交互的同时，伴随的风险来源会更加广泛和复杂，如常见的供应中断、需求波动、质量问题、物流延迟等。现如今在高度互联时代网络风险成为了供应链上各个节点不可避免的问题。 ## 二、供应链风险管理中的常见的网络风险 ### 1.数据泄露数据泄露是企业面临的一个严重的网络安全风险，且这些安全事件的数量和严重程度随着攻击手段的升级而逐渐增加。当企业数据泄露时，会导致重大的经济损失和声誉损害，以及潜在的监管和法律后果。研究表明，企业从察觉数据泄露到解决问题的平均持续时间约为197 天 $^{\\mathrm{i}}$ 。当企业因供应链安全问题而导致数据泄露时，上述数字往往会增加。", "数字越大，表明风险越大，越值得优先重视和积极改善。RPN 的数值由三个参数相乘得到，分别是严重度(Severity)、发生频率/可能性(Occurrence/ Probability )、识别难易程度(Detection)。在评估后，要综合考虑，严重度和发生度矩阵，严重度和可识别度矩阵，发生频率和可识别度矩阵。还需评估风险和故障对系统的可用性、数据丢失、财务成本和业务中断有什么影响。确定应用程序响应和恢复程序。对于每种故障模式，确定应用程序将如何响应和恢复。考虑在成本与应用程序复杂程度之间作出折衷。评估后，企业应优先考虑高等级故障并定义缓解措施，并不断更新和审查。 ### 2.BCM RA 风险评估是业务连续性管理工作中的重要环节，是对各方面风险进行辨识和分析的过程，是对威胁、资源、脆弱性及三者相互作用的结果进行评估。评估关键资源所面临的风险及风险等级，并针对高风险等级事项提出风险处置建议。在进行混沌工程前可以利用RA风险评估方法对资源和业务系统进行风险分析，利用风险评估模型提早识别出威胁和脆弱性，计量出风险分值之后，按照分值从高到底排序，在混沌工程开展时，风险分值比较高的资源和业务系统作为重点实验对象。", "# 数据合作方管理：走向精细化，缺乏评估依据\\n\\n中国·北京 12.20-12.21 回归数据本质应用驱动治理\\n\\n2023数据资产管理大会\\n\\n* 因合作方安全能力参差不齐导致数据安全事件频发：83%的泄露事件来自外部人员（Verizon）。\\n\\n* 随着数据合作场景日益复杂，虽然大部分受访企业已开展部分合作方管理工作，但传统的“一刀切”管理模式已不再适用。\\n\\n* 企业缺乏对外部数据合作方进行评估和监督的依据，数据合作方评估缺乏针对性框架。\\n\\n### 数据安全需求侧合作方管理工作开展情况\\n\\n| | | |\\n\\n| :-------------------------- | :------------------ | :------------------ |\\n\\n| 通过合同、协议等对合作方进行约束 | | 89.3% |\\n\\n| 制定了合作方的管理要求 | | 57.3% |\\n\\n| 定期对合作方数据安全保护能力进行检查 | | 40.0% |\\n\\n| 合作开始前对合作方进行尽职调查 | | 50.7% |\\n\\n| 通过合作方管理系统等工具，对合作方进行统一管理 | | 58.7% |\\n\\n| 其他 | | 2.7% |\\n\\n| 未开展 | | 4.0% |\\n\\n### 数据安全需求侧合作方管理工作面临的痛难点\\n\\n| | | |\\n\\n| :-------------------------- | :------------------ | :------------------ |\\n\\n| 公司各业务情况不同，难以推行统一合同、协议模板 | | 49.3% |\\n\\n| 监管部门尚未发布第三方数据安全管理相关标准、文件 | | 45.3% |\\n\\n| 第三方安全评估和监督专业人才缺失 | | 26.7% |\\n\\n| 隐私计算技术在第三方管理中的应用场景待明确 | | 38.7% |\\n\\n| 第三方安全措施落实情况查验难 | | 53.3% |\\n\\n| 第三方方管理安全性和可落地性统筹难 | | 42.7% |\\n\\n| 第三方背景关系和安全资质能力审查渠道少 | | 28.0% |\\n\\n| 数据处理协议与实际数据处理场景映射不全 | | 24.0% |\\n\\n| 其他 | | 1.3% |\\n\\n| 未开展 | | 4.0% |", "197天", "评估关键资源所面临的风险及风险等级，并针对高风险等级事项提出风险处置建议。在进行混沌工程前可以利用RA风险评估方法对资源和业务系统进行风险分析，利用风险评估模型提早识别出威胁和脆弱性，计量出风险分值之后，按照分值从高到底排序，在混沌工程开展时，风险分值比较高的资源和业务系统作为重点实验对象。混沌工程前利用BCM 中的RA 方法进行自检的价值：建立对业务运行环境的整体认识，了解业务连续运行所面临的各类潜在风险因素，识别影响业务大范围中断的关键风险场景；分析各业务系统运行所面临的首要风险场景，识别风险发生的可能性，并定性描述可能造成的损失；根据风险评估结果，对关键风险场景提出风险管控措施，对于处置后仍在不可接受范围内的残余风险提出进一步处置策略，可围绕评估出的关键风险场景，在专项预案编制过程中有针对性的进行应急处置流程设计，同时可以作为混沌工程实验的重点。 ### 3.FTA 故障树是一种特殊的倒立树状的逻辑因果关系图。故障树分析（Fault Tree Analysis, FTA）是以一个不希望发生的产品故障事件或灾害性危险事件即顶事件作为分析的对象，通过由上向下的严格按层次的故障因果逻辑分析，逐层找出故障事件的必要而充分的直接原因，画出故障树，最终找出导致顶事件发生的所有可能原因和原因组合，在有基础数据时可计算出顶事件发生的概率和底事件重要度。 ![](images/a9b5af5b974c4d25d0358df03bf4db87886abf29c36d52b0abe72300649ded7d.jpg) 1961 年, FTA 由美国贝尔电话研究室的华特先生首先提出的。" ], "passage_sources": [ "原始查询-event-ea76fd577ea174ce04eb0e52504357fd97f409c7d5392f9328dec7f88ba7ea21", "原始查询-event-210a4ebebda2e28c3a9dbde7c8af083674fd259876c843712fbb3cfbbbc3c8d5", "原始查询-event-2e68213ad9976724385388b22d8f19b81d25860b9dd82000cbc5a560abd36952", "原始查询-event-8f00e90d0b24d2b27c401edf8d9741a54b5018e90db2168f34734fd91d0a5a30", "原始查询-event-0961b1fc42ba03805aee0fb8c5c18926ee4ea6e3d72a935e6baa25a89f224768", "原始查询-event-4710ccf6c003b31464f0d72794446fa53c7cf6a08db2377e30c32f38dccb52e2", "原始查询-event-b1caa5e125693638af4b77ab06d5fa0761f753736beadf8f6c0a61e1cd3dc96a", "原始查询-event-b9c3d9eac37929e1b825e66eb803844dbcd06cd3d8e6ce08d534a3279c07037a", "原始查询-event-bf9765c5e8e33e4dbaafcb0cd72e1d7f431771778c4a8cfcdfd55797da9c3b38", "原始查询-event-f1595af5edabfc6a1c1e14d05be6e70a5b84036ba48fdcef566100cbbbff434f", "原始查询-event-3dac2ecb79b7aa8562aa1f711a32e1ed0a2e4c0d1d385ff90d5a776becccb3ba", "原始查询-event-0be3e13044224014554c5d0caeb35b4ed2e71485515558495b193963ec8af7e3", "原始查询-event-7036386f1f2751bc9b4c7f9a7eb9fc9f482959f6abbf2690e0afbe04347b15c0", "原始查询-event-26d0c34a861cadaa3c2d60b1d5529cd309d3a50c1e26c83c596cc192923eff69", "原始查询-event-a0eddaff33b8055633198581e198d3f4dced64e72592d42f8b8e2d467b7346e9", "原始查询-event-3d4128c914db739043e979c857022a55715ec2be88208cff561c0344291c159d", "原始查询-event-1e3762de3b7a539404b65fafd14e6c903bfc357d3e38e4f8f29712c2741c01f5", "原始查询-event-b79bab8cc754a6c4506d482589e80cb1814325c602ac30617edb73735bfe52c2", "原始查询-event-a7226b137146ebcc1baea3a1a179952ea0a9ffbdc1f1013ffcae4258d7aba326", "原始查询-event-a177e0fe7f50d6b8f2c206fd9c49fe426d68eb6c60fdc02e5416ebb6266291d3", "原始查询-event-577cbe1f510dee21d6fcedf3b996b6772448e54d0c52b5dd75911647f41946cd", "原始查询-event-ffe22ff3dca3d0470af2a8838c29594340ef922ec4d90dd9376cd7f4fa497cca", "原始查询-event-346c042e00206c28121841cb9d02fbd56a8ed6dafb589a8cc640bcf74c779bb6", "原始查询-event-3ec93a87a89cefe51237191e6741f0e7d56011aae624114be25d1caee75e4213", "原始查询-event-ede7370e9158593bd04335684cafdca79f112a3ae24ba8f96b5cd4dc6413e7dd", "原始查询-event-b31b628a748d9d79ef5e93d47481b311dbc1ed7f1a4f48a6f416ff1bab0ce68d", "原始查询-event-4db3dd15b7dfb9daa8fd090a05b57bc3db3ebcbf8916add1346263fda16de2e1", "原始查询-event-60334e38510a28ea91081b5b308c730688a0ae2f9fe37bb19c5b68a23450ddd6", "原始查询-event-56edbaff59f17b3a703c97efbeae937e1ff53baaed4bfd6235c15b94268c9da2", "原始查询-event-30d2d88bb49b154c02cdd99d1bc22d4a87acaa970fb5b756f1020d77e550d52e", "原始查询-event-013ba8e6f4465423281cfba080026f5e1cb76bf3385f7df961c9fa8234a7cf12", "原始查询-event-9e121286926372c57fae1a171e9ce57a69ffb0f24cf3491f187eedf7ccf6787d", "原始查询-event-63648645a902a30f030223f3590533af4bfdb066e6244ee635a959c1d886c5ba", "原始查询-event-84529aaf0dc696f4b6178703b7cf2a1baa2d4ba5c6ed32294f32b9169c92c673", "原始查询-event-0744dc33b08d04d0b874cd616bc6faffab8a5337db5aa35261855b29dc5b7b1e", "原始查询-event-22e7184310ca40339b66bfa7dd232fe6c6dd21d7f52a25093b1d17a2d986186f", "原始查询-event-3d9b0bac6dd4a8d3768b5eab25fbb5bfde67e1ca19a1c33a101dcb985f6d0af3", "原始查询-event-ad002bd57829d53c4587f8c8070eccc1287442cbf45d92640c1e764ca329c92b", "原始查询-event-b5e7d268e2c8abae824ea4813c4cbc8e664940b8cffcd175a91c017a8a80dfa1", "原始查询-event-1bd5630f2446bf44d2e894494f7c5bede977eabe1112d9c46214a07664e63bfc", "原始查询-event-e2354406046466b408235b459f3e2329d264e261f944379005444e8847439530", "原始查询-event-5ffdbe5d72c832b449e0822b959f83ca76db4f31db5b26988dbf55c559fa89a5", "原始查询-event-256b5a27ca223ff76c6450a4cb66b14cd8f0958158d5843bf490c2e8b41e7415", "原始查询-event-51874f7822d6c451baa551636c486e33418f91b3ba67e0fc96fda1265743ac5d", "原始查询-event-5611a2e3530f92ddcf87f4f49c7d70e0c5703eafbda3bdd428d8c00d45d4e23a", "原始查询-event-b9c0fbffbd0d55a82a59409b2ea071b9df862299b5512662aae1a3e618d6d9a9", "原始查询-event-475833da38132a5da55dab67fbb1d6b424eb9379003879877c16061971dc8e33", "原始查询-event-ac1e1c250f818601ac797b2b3ed5aaf9a071b0278fb4be22f50ec8122289bedf", "原始查询-event-b72d95d6e2d494b62d71923af436633ff3d1c7ac37d056e3488f466d448f175d", "原始查询-event-30a716b2ad9289893af6ccf9ec565fb21e0bd13d125c041fb76de0cae2ed46f3", "原始查询-event-231f6f904e017190c477b85dd192cbb145cf27176a9ce1c393a2068a6fc10293", "原始查询-event-0fcb9fb805013a003e01fa41fce7fad9d62fedaa665de7e0db615e063b5e8817", "原始查询-event-8a11a9395a180b8cc65552c3017e68a819a94f49b3d9a55eb8c4c4ae87b894c7", "原始查询-event-ed58e7ce144b2ed47077dfe586f46c5e1b7b01a363a36871c0c10ed36a2081cc", "原始查询-event-0fb4890e94e695f431d0a99e05014cb1161679f5faf3cad2a9e37721708c6977", "原始查询-event-41a4280e887c01234d1b45eb51e09e76fff73b4eab3fb09e881ef3af889eb112", "原始查询-event-80c095eee24a433e5aff2c626a6926b18aedc0cff308a861e5ed5de4d1310db0", "原始查询-event-bb9991da3b508a41ee7bf598b5009ca892cdd1b439e3fe487dc120d764bb837a", "原始查询-event-832821495ed95ff21c3fdd51481aae0de20593e75e02de092cdfdc887f4e2068", "原始查询-text-d083eb755ce88432eb534e9e2e371447c094cde70a4094f8778f80b93451cb6e", "原始查询-text-7ddb41a16d2c78b1aa5d3524ba9b717ee8a0f32b54947624fa1785987747b161", "原始查询-text-ca83deb3d2fe710f2aa292dd64bc628c030e25d2dce805c4e17bfb2aca63c7ee", "子查询2-event-936a421c28f64acee3a020401e6919da548480b36973cdc8c7ad6617b67c79b3", "子查询2-text-28bc0692b60ed668688fd58d9c5163a6e923a177125a5782164888844e061a2e" ], "pagerank_data_available": true, "pagerank_summary": {}, "concept_exploration_results": {}, "exploration_round": 0, "debug_info": { "total_time": 12.754102230072021, "retrieval_calls": 1, "llm_calls": 4, "langsmith_project": "rag-api-service", "token_usage_summary": { "has_llm": true, "has_generator": true, "last_call": { "prompt_tokens": 3042, "completion_tokens": 37, "total_tokens": 3079 }, "total_usage": { "prompt_tokens": 12220, "completion_tokens": 600, "total_tokens": 12820, "call_count": 9 }, "model_name": "qwen2-7b-instruct", "has_last_usage": true, "has_total_usage": true }, "complexity_analysis": { "is_complex": true, "complexity_level": "complex", "confidence": 0.95, "reason": "这是一个复杂查询，因为它涉及到供应链风险管理领域的特定子领域——第三方风险管理（TPRM），并且需要了解TPRM在该领域的重要性。可能需要查找相关文献、行业报告或者专业文章来理解TPRM为何被视为关键要素。这种查询通常需要生成多个子查询，分别针对TPRM的定义、作用、案例研究以及它如何影响供应链风险管理的整体策略等方面进行深入探究。" }, "debug_mode_analysis": { "debug_mode": "0", "debug_override": {}, "path_override_applied": false }, "sufficiency_analysis": { "final_sufficiency": true, "sufficiency_check_details": { "is_sufficient": true, "confidence": 0.9, "reason": "事件信息和段落信息包含了回答查询所需的关键内容...", "iteration": 0 }, "iteration_sufficiency_history": [], "sufficiency_progression": { "status": "no_sufficiency_checks" } }, "routing_analysis": { "total_routing_decisions": 1, "sub_query_generation_count": 0, "parallel_retrieval_count": 0, "pagerank_collection_count": 0 }, "concept_exploration_analysis": { "exploration_enabled": false, "exploration_rounds": 0, "pagerank_nodes_analyzed": 0, "successful_branches_total": 0, "total_branches_attempted": 0 } }, "iteration_history": [ { "iteration": 0, "query": "并行检索: 原始查询 + 2 个子查询", "passages_count": 64, "action": "retrieval" }, { "iteration": 0, "action": "sufficiency_check", "is_sufficient": true, "confidence": 0.9, "sub_queries_count": 0 }, { "iteration": 0, "action": "final_answer_generation", "answer_length": 5206 } ] }