Διαδικασία σχεδίου διαχείρισης κινδύνου πωλητή

 

Εισαγωγή

TΤο Σχέδιο Διαχείρισης Κινδύνου Προμηθευτή του στοχεύει στη δημιουργία ενός πλαισίου για την αποτελεσματική διαχείριση και τον μετριασμό των κινδύνων που σχετίζονται με τρίτους προμηθευτές στο Κοινοτικό Κολλέγιο Hudson County. Η διαδικασία περιγράφει τις διαδικασίες και τις διαδικασίες για την αξιολόγηση, την επιλογή και τη συνεχή παρακολούθηση του προμηθευτή για τη διασφάλιση της ασφάλειας, της συμμόρφωσης και της αξιοπιστίας των σχέσεων με τους προμηθευτές. Η διαδικασία επικεντρώνεται κυρίως στη συλλογή και την επανεξέταση πληροφοριών σχετικά με την καταλληλότητα και την ασφάλεια του πωλητή και στην αξιολόγηση των όρων και προϋποθέσεων και της γλώσσας της σύμβασης κατά την αρχική υπογραφή και ανανέωση της σύμβασης.

  1. Διαδικασία επιλογής προμηθευτή
    1. Αναγνώριση προμηθευτή: Προσδιορίστε πιθανούς προμηθευτές με βάση τις απαιτήσεις και τις ανάγκες του κολεγίου.
    2. Αρχική αξιολόγηση προμηθευτή: Αξιολογήστε πιθανούς προμηθευτές χρησιμοποιώντας τα ακόλουθα κριτήρια:
      1. Προσόντα και τεχνογνωσία
      2. Φήμη και αναφορές
      3. Οικονομική σταθερότητα
      4. Πρότυπα ασφάλειας και συμμόρφωσης
      5. Συμφωνίες επιπέδου υπηρεσιών
    3. Αίτημα για Πρόταση (RFP): Προετοιμάστε και εκδώστε ένα RFP, εάν είναι απαραίτητο, σε προμηθευτές που έχουν επιλεγεί στη λίστα με τις προσδοκίες, τις απαιτήσεις και τα κριτήρια αξιολόγησης του κολεγίου.
    4. Αξιολόγηση προμηθευτή: Αξιολογήστε τις προτάσεις προμηθευτών με βάση προκαθορισμένα κριτήρια και πραγματοποιήστε τυχόν απαραίτητες συνεντεύξεις ή παρουσιάσεις.
    5. Επιλογή προμηθευτή: Επιλέξτε τον προμηθευτή με βάση τα αποτελέσματα αξιολόγησης, λαμβάνοντας υπόψη παράγοντες όπως το κόστος, οι δυνατότητες και το προφίλ κινδύνου.
  1. Συλλογή και ανασκόπηση της εργαλειοθήκης αξιολόγησης προμηθευτών κοινότητας τριτοβάθμιας εκπαίδευσης (HECVAT).
    1. Απαίτηση εντύπου HECVAT: Όλοι οι πιθανοί πωλητές πρέπει να υποβάλουν το συμπληρωμένο HECVAT τους. Τα ευρήματα του ελέγχου SOC 2 μπορούν να αντικαταστήσουν ένα HECVAT.
    2. Αρχική αναθεώρηση: Ελέγξτε το HECVAT για να αξιολογήσετε τις πρακτικές ασφάλειας των προμηθευτών, τα μέτρα προστασίας δεδομένων και τη συμμόρφωση με τους σχετικούς κανονισμούς.
    3. Εκτίμηση κινδύνου: Πραγματοποιήστε αξιολόγηση κινδύνου με βάση τις πληροφορίες που παρέχονται στο HECVAT για τον εντοπισμό πιθανών κινδύνων που σχετίζονται με τη σχέση προμηθευτή.
    4. Ενέργειες μετριασμού: Αναπτύξτε δράσεις μετριασμού για την αντιμετώπιση εντοπισμένων κινδύνων, όπως η αίτηση πρόσθετων πληροφοριών, η διενέργεια ελέγχων ασφαλείας ή η θέσπιση συμβατικών υποχρεώσεων για την ασφάλεια και το απόρρητο.
  2. Αναθεώρηση όρων και προϋποθέσεων
    1. Αναθεώρηση σύμβασης: Ελέγξτε τους όρους και τις προϋποθέσεις της προτεινόμενης σύμβασης προμηθευτή, εστιάζοντας σε τομείς που σχετίζονται με το απόρρητο δεδομένων, την ασφάλεια, τη συμμόρφωση και την πνευματική ιδιοκτησία.
    2. Νομική αναθεώρηση: Προσλάβετε νομικό σύμβουλο, εάν είναι απαραίτητο, για να διασφαλίσετε ότι η γλώσσα της σύμβασης προστατεύει επαρκώς τα συμφέροντα του κολεγίου και ευθυγραμμίζεται με τους ισχύοντες νόμους και κανονισμούς.
    3. Διαπραγμάτευση και τροποποίηση: Συνεργαστείτε με τον πωλητή για να διαπραγματευτείτε και να τροποποιήσετε τη γλώσσα της σύμβασης για να αντιμετωπίσετε τυχόν εντοπισμένα προβλήματα ή κενά.
    4. Έγκριση και υπογραφή: Λάβετε τις απαραίτητες εγκρίσεις για τη σύμβαση και υπογράψτε τη συμφωνία μόλις όλα τα μέρη ικανοποιηθούν με τους όρους και τις προϋποθέσεις.
  3. Συνεχής διαχείριση προμηθευτών
    1. Τακτική παρακολούθηση: Παρακολουθήστε συνεχώς την απόδοση του προμηθευτή, τις πρακτικές ασφαλείας και τη συμμόρφωση καθ' όλη τη διάρκεια της σύμβασης.
    2. Αναθεώρηση ανανέωσης σύμβασης: Οι ανανεώσεις συμβάσεων εξαρτώνται από το καταστατικό του νόμου περί συμβάσεων του Κοινοτικού Κολλεγίου. Διεξάγετε μια ενδελεχή αναθεώρηση των σχέσεων με προμηθευτές, συμπεριλαμβανομένης της επαναξιολόγησης του νέου HECVAT, των όρων και προϋποθέσεων και της γλώσσας της σύμβασης, κατά τη διαδικασία ανανέωσης της σύμβασης.
    3. Αξιολόγηση απόδοσης προμηθευτή: Αξιολογήστε περιοδικά την απόδοση του προμηθευτή σε σχέση με καθιερωμένες συμφωνίες και προσδοκίες σε επίπεδο υπηρεσιών.
    4. Απόκριση σε περιστατικό: Ακολουθήστε τη διαδικασία απόκρισης περιστατικού για να αντιμετωπίσετε άμεσα τυχόν παραβιάσεις ασφαλείας ή περιστατικά δεδομένων που αφορούν προμηθευτές.
    5. Προμηθευτής εκτός επιβίβασης: Αναπτύξτε μια διαδικασία για να διασφαλίσετε τη σωστή αποβίβαση των προμηθευτών, συμπεριλαμβανομένης της επιστροφής ευαίσθητων πληροφοριών και του τερματισμού της πρόσβασης στο σύστημα.
  4. Τεκμηρίωση και Αναφορά
    1. Απόδειξη με έγγραφα
      1. Αποθετήριο συμβάσεων: Όλες οι συμβάσεις προμηθευτών, συμπεριλαμβανομένων των όρων και προϋποθέσεων, των τροποποιήσεων και των σχετικών εγγράφων, θα πρέπει να αποθηκεύονται στο σύστημα διαχείρισης συμβολαίων του κολεγίου. Βεβαιωθείτε ότι το αποθετήριο συμβάσεων είναι οργανωμένο, εύκολα προσβάσιμο και ενημερώνεται τακτικά.
      2. Ολοκληρωμένη Τεκμηρίωση HECVAT και Ασφάλεια: Διατηρήστε αρχείο όλων των HECVAT και των ελέγχων ασφαλείας που λαμβάνονται από τους προμηθευτές, συμπεριλαμβανομένων τυχόν υποστηρικτικών εγγράφων ή διευκρινίσεων που παρέχονται από τους προμηθευτές.
      3. Εκτιμήσεις κινδύνου: Τεκμηριώστε τα αποτελέσματα των αξιολογήσεων κινδύνου που διενεργήθηκαν με βάση το HECVAT και τυχόν πρόσθετες εκτιμήσεις ή ελέγχους που πραγματοποιήθηκαν.
      4. Αναφορές περιστατικών: Διατηρήστε αρχείο για τυχόν περιστατικά ασφαλείας ή παραβιάσεις που αφορούν προμηθευτές, μαζί με τις αντίστοιχες ενέργειες αντιμετώπισης περιστατικών.
    2. Αναφορά
      1. Εκτελεστική αναφορά: Παρέχετε τακτικές αναφορές στην εκτελεστική διοίκηση, συμπεριλαμβανομένου του Chief Information Officer (CIO) και του Υπουργικού Συμβουλίου, συνοψίζοντας το τοπίο κινδύνου του προμηθευτή, τις προσπάθειες μετριασμού και αξιοσημείωτα συμβάντα ή ανησυχίες.
      2. Αναφορά ανανέωσης σύμβασης: Ετοιμάστε μια ολοκληρωμένη αναφορά που επισημαίνει τα ευρήματα από την ανανέωση της σύμβασης, συμπεριλαμβανομένων τυχόν προτεινόμενων αλλαγών ή βελτιώσεων στις σχέσεις με τον προμηθευτή.
      3. Αναφορά συμμόρφωσης: Δημιουργήστε περιοδικές αναφορές για τη συμμόρφωση των προμηθευτών με τους ισχύοντες κανονισμούς, τις συμβατικές υποχρεώσεις και τα συμφωνημένα πρότυπα ασφαλείας.
    3. Διατήρηση αρχείων
      1. Περίοδος διατήρησης: Η τεκμηρίωση της αξιολόγησης κινδύνου προμηθευτή θα ακολουθεί τα χρονοδιαγράμματα διατήρησης αρχείων για τεκμηρίωση που σχετίζεται με τον προμηθευτή, διασφαλίζοντας τη συμμόρφωση με νομικές, ρυθμιστικές και εσωτερικές απαιτήσεις.
      2. Απόρρητο και προστασία δεδομένων: Τηρείτε τους ισχύοντες κανονισμούς απορρήτου και προστασίας δεδομένων κατά την αποθήκευση και το χειρισμό εγγράφων που σχετίζονται με τον πωλητή, διασφαλίζοντας ότι υπάρχουν οι κατάλληλες διασφαλίσεις.

Εγκρίθηκε από το Υπουργικό Συμβούλιο: Μάιος 2023
Σχετική πολιτική συμβουλίου: Υπηρεσίες Πληροφορικής

Επιστροφή στην Policies and Procedures