제3자, 제4자, n자

외부 공급업체는 귀하가 상호작용하거나 비즈니스 관계를 맺은 모든 조직 또는 개인입니다. 외부 공급업체는 자회사를 보유할 수 있으며 제4자와 계약할 수 있습니다. 예를 들어 부서는 자회사입니다. 제4자는 추가 당사자(n자, 다섯 번째, 여섯 번째 등이라고 함)와 계약할 수 있습니다. 모든 다운스트림 당사자(제4자부터 N자까지)는 제3자와 동일한 방식으로 위험을 짊어집니다.

벤더는 사용자가 자신의 상품이나 서비스를 생산하거나 제공하는 데 사용하는 상품이나 서비스를 제공합니다. 모든 벤더가 외부 공급업체이지만 모든 외부 공급업체가 벤더는 아닙니다. 다음은 다른 유형의 외부 공급업체 목록입니다.

• 공급자
• 제휴사
• 상대방
• 컨설턴트
• 파트너
• 전문 서비스
• 고문
• 프랜차이즈
• 딜러
• 리셀러
• 대리점
• 고객
• 클라이언트
• 아웃소싱 직원

참여

참여는 잠재적으로 조직을 위험에 노출시킬 수 있는 외부 공급업체와 형성하려는 비공식적 또는 계약된 관계입니다. 계약에서는 외부 공급업체가 제공할 서비스 또는 제품 및 관계의 기타 세부 정보를 간략하게 설명합니다. 이러한 세부 정보에는 지불 조건, 기밀성 요구 사항 및 관계 기간이 포함될 수 있습니다.

내부 및 외부 평가를 사용하여 각 계약을 평가할 수 있습니다. 문제, 작업, 내부 평가 및 외부 평가가 계약과 연결됩니다.

자회사

자회사는 외부 공급업체가 소유하거나 통제하는 조직이며 외부 공급업체 조직의 일부로 간주됩니다. 일반적으로 외부 공급업체의 위험 프로필의 일부로 관리됩니다. 이는 제3자와 계약을 맺고 해당 제3자가 소유하거나 통제하지 않는 제4자에서 제n자와는 다릅니다.

자회사에 대한 위험 평가는 다른 외부 공급업체와 동일합니다. 자회사의 위험 등급은 지배 외부 공급업체의 점수에 영향을 미칩니다.

IRQ - 고유 위험 질문서

내부 평가 프로세스 중에 조직의 내부 직원이 IRQ의 질문에 답변합니다. 이러한 응답은 외부 공급업체와의 협력과 관련된 내재적 위험을 평가하는 데 도움이 됩니다. 고유 위험은 위험 완화 조치를 구현하기 전의 위험 수준을 나타냅니다. IRQ는 다음 활동을 지원합니다.

위험 요인 결정

• 외부 공급업체가 제공하는 서비스의 특성입니다.
• 관련 데이터의 민감도입니다.
• 외부 공급업체의 지리적 위치입니다.
• 외부 공급업체의 전반적인 보안 태세입니다.

점수 매기기 또는 등급 결정

질문서에 대한 응답은 외부 공급업체와 관련된 고유한 위험을 정량화하는 데 도움이 되도록 점수 또는 등급이 매겨지는 경우가 많습니다. 이 채점 시스템은 위험 관리 노력의 우선순위를 정하는 데 도움이 될 수 있습니다.

의사 결정

IRQ의 결과는 의사 결정 과정에 사용됩니다. TPR(Third-party Risk) 관리자 및 관리자는 질문에 대한 특정 응답에 따라 외부 공급업체에 특정 외부 평가(실사) 질문서를 보내도록 IRQ를 구성할 수 있습니다.

• 외부 공급업체와 협력해야 합니까?
• 어느 수준의 실사가 필요합니까?
• 어떤 구체적인 위험 완화 조치를 구현해야 합니까?

진행 중인 실사

IRQ는 제3자의 운영, 보안 관행 또는 기타 관련 요인의 변화를 설명하기 위해 주기적인 재평가를 통해 지속적인 관리의 일부일 수도 있습니다.

실사(DD)

실사 는 잠재적 비즈니스 파트너, 공급업체 또는 벤더의 무결성, 평판, 재무 안정성, 법률 준수, 운영 역량, 공급망 및 기타 관련 요소에 대한 철저한 조사 또는 검사를 수행하는 프로세스입니다. 외부 공급업체에 대한 실사를 수행하는 것은 포괄적인 외부 공급업체 위험 프로그램의 중요한 구성 요소입니다. 귀하는 관계 형성 방법을 자신 있게 결정할 수 있도록 외부 공급업체와 관련된 위험을 인지하기 위해 실사를 수행합니다. 실사 워크플로우를 사용하여 새 계약을 온보딩하거나 기존 계약을 재평가하거나 폐기합니다. 실사 워크플로우에는 내부 평가, 외부 평가 및 위험 인텔리전스를 통한 정보 수집이 포함됩니다. 외부 공급업체 위험 관리자는 이러한 단계의 모든 점수를 분석하여 계약을 온보딩, 재평가 또는 폐기할지 여부를 결정합니다. 실사에는 실사 워크플로우를 종결하기 전에 선택적인 계약 협상 프로세스도 있습니다.

실사를 수행하는 이유 및 실사 유형 문서를 참조하십시오.

외부 공급업체 위험 평가

외부 공급업체 위험 평가(TPRA)는 외부 공급업체 및 참여 위험을 평가하기 위해 외부 공급업체 연락처 또는 내부 사용자에게 보낼 수 있는 질문서 세트입니다. 내부 사용자에게 보내는 평가는 내부 평가로 분류됩니다. 외부 공급업체 접촉 창구에 보내는 평가를 외부 평가라고 합니다.

내부 평가를 사용하여 외부 공급업체 및 참여 계층을 계산합니다. 질문서 템플릿 테이블에서 내부 질문서를 식별하는 데 사용하는 분류는 고유 위험 질문서 템플릿[irq_template]입니다. 내부 평가에서 받은 응답에 따라 외부 평가에 필요한 질문서를 자동으로 첨부할 수 있습니다. 질문서 매핑 테이블 [sn_tprm_dd_m2m_question_to_questionnaire]에 이 옵션을 구성할 수 있습니다.

외부 평가를 사용하여 받은 외부 공급업체 연락처 응답에 따라 외부 공급업체 및 참여와 관련된 위험을 평가합니다. 외부 평가의 위험 등급은 평가에 첨부된 모든 질문서를 사용하여 평가 수준에서 계산됩니다. 이러한 평가 등급은 집계되어 외부 공급업체 및 계약에 롤업됩니다. 집계는 MIN, MAX 또는 AVG이며 점수 매기기 설정에서 구성할 수 있습니다. 외부 공급업체 포털 https://<myCompany>.service-now.com/ svdp 의 외부 공급업체 접촉 창구(외부 사용자)가 이러한 외부 평가에 응답합니다.

점수 매기기에 대한 자세한 내용은 다음 문서를 참조하십시오 클래식 평가 엔진을 사용하여 계산 채점.

위험 인텔리전스 제공자

위험 인텔리전스 제공자는 다양한 외부 공급업체 위험 도메인에 대한 위험 점수를 생성합니다. 조직은 개인 신용 점수와 유사한 데이터를 반환하는 제공자로부터 서비스를 구입할 수 있습니다. 점수는 특정 외부 공급업체가 얼마나 신뢰할 수 있고 안전한지에 대한 인사이트를 제공합니다.

위험 인텔리전스 제공자의 점수 통합 문서를 참조하십시오.

위험 인텔리전스 점수

위험 인텔리전스 점수 는 특정 조직과 관련된 위험 수준을 평가하는 수치 평가입니다. 이러한 점수는 광범위한 데이터 소스를 수집하고 분석하는 위험 인텔리전스 제공자가 생성합니다. 점수는 등급이나 숫자 등 모든 형태로 나올 수 있습니다. 시스템은 점수 값을 적절한 TPRM 등급에 매핑합니다. 이러한 점수는 조직이 외부 공급업체와의 협력, 규정 준수 관리 및 잠재적 위험 완화에 대해 정보에 입각한 결정을 내리는 데 도움이 될 수 있습니다. 위험 인텔리전스 점수는 릴리스 기준으로 Washington DC 외부 공급업체에서 사용할 수 있습니다. 위험 등급은 점수 매기기 설정의 참여와 관련된 점수 규칙에 따라 계산됩니다.

외부 공급업체 점수

이러한 점수는 조직이 외부 공급업체 관계를 선택하고 관리하는 데 대해 정보에 입각한 결정을 내리는 데 도움이 되며, 이를 통해 위험 허용 범위 및 규정 준수 요구 사항에 부합할 수 있습니다. 외부 공급업체 점수를 평가함으로써 조직은 잠재적인 위험을 식별하고, 실사 노력의 우선순위를 지정하고, 적절한 위험 완화 전략을 구현할 수 있습니다.

위험 등급 구성요소

구성요소는 위험을 평가할 수 있는 엔터티입니다. 기본 시스템에는 참여, 외부 모니터링, 자회사 및 외부 공급업체 위험 평가가 포함됩니다. 각 구성요소에 대해 위험이 계산된 다음 위험이 집계되고 롤업되어 외부 공급업체 위험 등급이 계산됩니다.

구성요소 기준은 외부 공급업체에서 구성요소를 사용하는 방법에 대한 정의입니다. 구성요소 기준은 특정 유형의 외부 공급업체 또는 계약에 적용해야 하는 구성요소 그룹입니다.

위험 영역 또는 도메인은 외부 공급업체에 대해 평가할 위험의 유형을 정의합니다. 이는 일반적으로 외부 공급업체가 운영되거나 제품/서비스를 제공하는 영역/도메인과 일치합니다. 예를 들어, 데이터 관리 외부 공급업체를 보안 위험 측면에서 평가하고 은행을 재무 위험 측면에서 평가할 수 있습니다.

위험 영역 기준은 외부 공급업체가 위험 영역을 사용하는 방법에 대한 정의이며 위험 영역 기준에 정의됩니다. 외부 공급업체 위험 영역 기준은 특정 유형의 외부 공급업체에 적용될 수 있는 위험 도메인 또는 영역의 그룹(또는 그룹화)입니다. 예를 들어, 보안, 재무 및 평판 위험 도메인은 외부 공급업체에 적용해야 하는 위험 영역 기준으로 그룹화할 수 있습니다. 위험을 평가할 비즈니스 도메인을 식별하고 각 도메인의 중요도(가중치)를 정량화하여 제3자가 조직에 미치는 위험을 더 잘 이해하고 완화할 수 있습니다.

점수 규칙

점수 규칙은 구성요소 기준과 위험 영역 기준을 외부 공급업체에 적용하고 계약의 위험 영역 기준을 적용하는 메커니즘을 제공합니다.

외부 공급업체의 경우, 구성요소 기준은 적용 가능한 특정 구성요소와 각 구성요소에 대한 관련 점수 산정 방법을 결정합니다. 이러한 구성 요소에는 지리적 위치, 전반적인 보안 태세, 내부 및 외부 평가 결과가 포함될 수 있습니다. 이러한 구성요소에 대한 점수 매기기 방법은 점수 매기기 설정에서 구성됩니다. 예를 들어, 지리적 위치 및 전반적인 보안 태세에 대한 내부 평가는 내부 평가 프로세스의 일부인 반면, 외부 평가는 MIN, MAX 또는 AVG와 같은 방법을 사용하여 위험 등급을 계산합니다. 또한 외부 제공자의 위험 인텔리전스 점수는 적절한 등급에 매핑되고 외부 평가 점수와 결합되어 전체 외부 공급업체 점수를 형성합니다.

외부 공급업체의 경우 위험 영역 기준에 따라 적용 가능한 특정 위험 영역(또는 도메인)과 각 위험 영역에 대한 관련 점수 산정 방법이 결정됩니다.

외부 공급업체 요소

외부 공급업체 요소 는 외부 공급업체 또는 계약이 상품, 서비스 또는 지원을 제공하기 위해 의존하는 외부 조직입니다. 이러한 조직에는 벤더, 공급자, 계약자, 개인 또는 외부 공급업체 또는 계약의 시스템, 데이터 또는 시설에 액세스할 수 있는 기타 외부 조직이 포함될 수 있습니다. 이러한 외부 공급업체 요소의 취약성 또는 실패는 외부 공급업체 또는 계약의 운영, 평판 및 보안에 상당한 영향을 미칠 수 있습니다. 이러한 통제를 구현하고 관련 위험을 해결함으로써 조직은 외부 공급업체 및 외부 공급업체 요소의 잠재적인 부정적 영향을 관리하고 완화하는 능력을 향상시킬 수 있습니다. 이러한 통제를 정기적으로 재평가하고 업데이트하는 것은 비즈니스 환경 및 규제 환경의 변화에 적응하는 데 필수적입니다.

다음은 외부 공급업체 요소 및 관련 통제 및 잠재적 위험의 몇 가지 예입니다.

데이터 센터

외부 공급업체 또는 계약이 데이터 및 IT 인프라의 스토리지, 처리 및 관리를 아웃소싱하는 시설 또는 위치입니다.

통제:

• 벤더 보안 평가: 클라우드 호스팅 또는 데이터 스토리지와 같은 서비스를 제공하는 외부 공급업체 벤더의 보안 조치 및 관행을 정기적으로 평가합니다.
• 데이터 암호화: 데이터 센터에 저장된 데이터가 무단 액세스로부터 보호하기 위해 암호화되어 있는지 확인합니다.
• 액세스 제어: 엄격한 액세스 제어를 구현하여 데이터 센터 시설 및 서버에 대한 물리적 및 가상 액세스를 제한합니다.
• 인시던트 응답 계획: 보안 인시던트를 즉시 해결하기 위해 포괄적인 인시던트 응답 계획을 개발하고 유지관리합니다.

위험:

• 데이터 침해: 타사 데이터 센터가 침해되면 민감한 정보에 대한 무단 액세스 및 손상으로 이어질 수 있습니다.
• 다운타임: 타사 데이터 센터에 의존하면 서비스 제공자에 기술적인 문제가 발생할 경우 조직이 다운타임의 위험에 처하게 됩니다.
• 규정 준수 위반: 데이터 센터에서 산업 또는 규정 준수 표준을 준수하지 않으면 조직에 법적 및 재정적 영향을 미칠 수 있습니다.

제조 시설

외부 공급업체 또는 계약이 제품의 생산 또는 조립을 아웃소싱하는 시설 또는 위치입니다.

통제:

• 공급업체 감사: 제조 공정에 중요한 구성 요소 또는 서비스를 제공하는 공급업체의 보안 관행을 정기적으로 감사하고 평가합니다.
• 품질 보증 표준: 원자재 및 구성 요소의 무결성과 안전성을 촉진하기 위해 제3자 공급업체에 대한 품질 보증 표준을 시행합니다.
• 공급망 가시성: 전체 공급망에 대한 가시성을 유지하여 잠재적인 취약성을 식별하고 해결합니다.
• 계약 합의: 보안 요구 사항 및 미준수 결과를 설명하는 명확한 계약서를 공급업체와 체결합니다.

위험:

• 공급망 중단: 타사 공급업체에 대한 의존성은 조직을 공급망 중단 위험에 노출시켜 생산에 영향을 미칩니다.
• 위조 부품: 공급망에 대한 통제가 부적절하면 위조 또는 표준 이하 부품이 사용되어 제품 품질이 저하될 수 있습니다.
• 규정 준수 문제: 공급업체가 규제 표준을 준수하지 않으면 제조 시설에 법적 및 규제적 결과가 발생할 수 있습니다.

수익 소유자

비즈니스 관계 또는 트랜잭션에 관여하는 조직을 궁극적으로 소유하거나 통제하는 개인입니다. 이러한 개인은 조직의 등록 또는 법적 소유자는 아닐 수 있지만 조직의 운영, 의사 결정 또는 재정 문제에 상당한 영향력이나 통제권을 가지고 있습니다.

통제:

• 실사: 필요한 경우 백그라운드 확인, 문서 검토 및 인터뷰를 포함하여 수익 소유자를 식별하고 확인하기 위한 강력한 실사 프로세스를 통합합니다.
• 계약상 의무: 제3자와의 계약에 수익적 소유권의 변경 사항을 공개하고 관련 법률 및 규정의 준수를 확인하도록 요구하는 조항을 포함합니다.
• 모니터링 및 보고: 제3자의 위험 프로필에 영향을 미칠 수 있는 변경 또는 개발을 감지하기 위해 수익 소유자를 지속적으로 모니터링하는 시스템을 구축합니다.
• 교육 및 인식: 위험 신호 및 보고 절차를 포함하여 수익 소유주를 이해하고 모니터링하는 것의 중요성에 대해 관련 직원에게 교육을 제공합니다.
• 규정 준수 프로그램: 보고 및 공개 요구 사항을 포함하여 실소유권과 관련된 모든 관련 법률 및 규정의 준수를 확인하는 프로그램을 개발하고 유지관리합니다.
• 에스컬레이션 절차: 수익 소유권과 관련된 우려 사항이나 부정 행위가 확인된 경우에 대해 명확한 에스컬레이션 절차를 수립하여 시기적절하고 적절한 조치를 장려합니다.

위험:

• 숨겨진 소유권: 수익 소유자는 의도적으로 소유권을 숨길 수 있으므로 제3자에 대한 영향과 관련된 잠재적 위험을 평가하기 어려울 수 있습니다.
• 평판 위험: 수익 소유자의 평판이 의심스러운 경우 이들과 관여하면 조직의 평판이 손상될 수 있습니다.
• 규정 준수: 수익 소유권 보고 및 투명성과 관련된 규정을 준수하지 않으면 법적 및 규제 결과가 발생할 수 있습니다.
• 재정적 위험: 재정이 불안정하거나 사기 행위에 연루된 수익 소유자는 제3자와 결과적으로 조직에 재정적 위험을 초래할 수 있습니다.