단일 외부 공급업체와 여러 계약을 맺을 수 있는 이유
특정 외부 공급업체를 온보딩하는 동안 외부 공급업체와의 각 고유한 관계 유형에 대해 별도의 참여를 수행할 수 있습니다. 한 가지 계약은 외부 공급업체의 조직을 위한 소프트웨어 개발과 관련된 위험을 평가하는 것이며 외부 공급업체가 제공하는 시설 관리 서비스에 대한 별도의 계약도 있습니다.
동일한 외부 공급업체의 서로 다른 계약에는 다양한 수준의 위험 평가가 필요할 수 있습니다.
주:
계약 요청이 승인된 후 첫 번째 내부 단계는 외부 공급업체의 위험 점수를 결정하여 위험의 범위를 지정하기 위해 IRQ 프로세스를 시작하는 것입니다.
참여는 비활성 상태에서 시작됩니다. 계약이 체결되거나 외부 공급업체와 활성 관계에 참여하면 참여가 활성 상태로 전환됩니다.
동일한 외부 공급업체의 서로 다른 계약에는 제공되는 서비스의 특성, 민감한 데이터 또는 중요 시스템에 대한 액세스 수준, 조직의 인프라에 대한 잠재적 영향 등의 차이로 인해 다른 수준의 위험 평가가 필요할 수 있습니다. 각 계약에 대해 별도의 위험 평가를 수행하면 위험 관리 전략과 통제를 맞춤화하여 각 계약과 관련된 위험을 효과적으로 해결할 수 있습니다.
예 - 외부 공급업체가 두 가지 서비스를 제공함
이 예에서는 조직이 두 가지 서비스를 위해 외부 공급업체와 협력합니다.
- 서비스: 소프트웨어 개발 계약
- 외부 공급업체는 금융 기관을 위한 사용자 지정 소프트웨어 애플리케이션 개발을 담당합니다. 이 참여에는 외부 공급업체가 민감한 고객 데이터에 액세스 및 처리하고, 중요한 시스템과 통합하고, 조직의 인프라에 변경 사항을 도입할 수 있습니다.
- 서비스: 시설 관리
- 외부 공급업체는 또한 금융 기관 사무실 건물의 물리적 보안 및 유지 관리를 담당합니다. 이 참여에는 보안 인력 제공, 출입 통제 시스템 관리, 시설의 전반적인 안전 및 유지 관리 확인이 포함됩니다.
서비스는 서로 다른 위험 프로필을 나타내며 별도의 위험 평가 참여를 요구합니다.
- 소프트웨어 개발 서비스 계약
이 참여에는 다음 요인으로 인해 더 높은 수준의 위험이 수반됩니다.
- 민감한 데이터에 대한 액세스: 외부 공급업체는 고객 데이터에 액세스할 수 있으므로 무단 액세스 또는 데이터 침해를 방지하기 위해 엄격한 데이터 보호 및 개인정보 보호 제어가 필요합니다.
- 시스템 통합: 외부 공급업체의 소프트웨어는 중요한 시스템과 통합되어야 하며, 이는 잠재적으로 해당 시스템의 안정성, 가용성 또는 보안에 영향을 미칠 수 있습니다. 시스템 오류나 취약성의 위험을 최소화하려면 적절한 테스트 및 품질 보증 절차가 중요합니다.
- 변경 관리: 새로운 소프트웨어를 도입하거나 기존 시스템을 변경하면 호환성 문제, 시스템 중단 또는 소프트웨어 취약성과 같은 위험이 발생할 수 있습니다. 이러한 위험을 완화하려면 강력한 변경 관리 관행과 코드 검토 프로세스가 필요합니다.
- 시설 관리 서비스에 대한 계약
이 참여에는 동일한 외부 공급업체도 관련되어 있지만 소프트웨어 개발 참여와 비교할 때 위험 프로필은 더 낮습니다.
- 물리적 보안: 여기서 초점은 액세스 제어 및 감시 시스템과 같은 물리적 보안 조치를 관리하는 것입니다. 물리적 보안과 관련된 위험은 여전히 중요하지만 일반적으로 사이버 보안 위험에 비해 더 간단하고 관리하기 쉽습니다.
- 유지 보수 및 안전: 제3자의 책임은 주로 일반 유지 보수 및 안전한 작업 환경 조성과 관련이 있습니다. 건물 유지관리와 관련된 위험(예: 안전 위험)은 여전히 존재하지만, 소프트웨어 개발 참여의 복잡한 사이버 보안 위험에 비해 예측 가능성이 더 높고 관리가 용이할 수 있습니다.