제3자, 제4자 및 n자

외부 공급업체는 사용자가 상호작용하거나 비즈니스 관계를 맺은 조직 또는 개인입니다. 제3자는 자회사를 가질 수 있으며 제4자와 계약할 수 있습니다. 예를 들어 부서는 자회사입니다. 제4자는 추가 당사자(제5자, 제6자 등)와 계약을 체결할 수 있습니다. 모든 하류 당사자(4자에서 n자)는 제3자와 동일한 방식으로 위험을 수반합니다.

벤더는 자체 상품 또는 서비스를 생산하거나 제공하는 데 사용하는 상품 또는 서비스를 제공합니다. 모든 벤더는 외부 공급업체이지만 모든 외부 공급업체가 벤더는 아닙니다. 다음은 다른 유형의 제3자 목록입니다.

• 공급자
• 제휴사
• 상대방
• 컨설턴트
• 파트너
• 전문 서비스
• 고문
• 프랜차이즈
• 딜러
• 리셀러
• 유통 업체
• 고객
• 클라이언트
• 아웃소싱 직원

계약

계약은 조직을 위험에 노출시킬 수 있는 외부 공급업체와 형성하려는 비공식 또는 계약된 관계입니다. 참여에는 외부 공급업체가 제공할 서비스 또는 제품과 관계의 기타 세부 정보가 간략하게 설명되어 있습니다. 이러한 상세 정보에는 지불 조건, 기밀성 요구 사항 및 관계 기간이 포함될 수 있습니다.

내부 및 외부 평가를 사용하여 각 참여를 평가할 수 있습니다. 문제, 작업, 내부 평가 및 외부 평가가 참여와 연결됩니다.

이 예에서 귀사는 3개의 외부 공급업체와 상호작용하고 이들 중에서 여러 계약을 관리합니다.

자회사

자회사는 외부 공급업체가 소유하거나 통제하는 조직이며 외부 공급업체 조직의 일부로 간주됩니다. 일반적으로 외부 공급업체의 위험 프로필의 일부로 관리됩니다. 그들은 제3자와 계약을 맺고 제3자가 소유하거나 통제하지 않는 제4자에서 제n자까지 다릅니다.

자회사에 대한 위험 평가는 다른 외부 공급업체에 대한 위험 평가와 동일합니다. 자회사의 위험 등급은 지배하는 제3자의 점수에 기여합니다.

IRQ - 고유 위험 질문서

내부 위험 평가 프로세스 중에 조직의 내부 직원이 IRQ의 질문에 답변합니다. 이러한 응답은 외부 공급업체와의 협력과 관련된 내재적 위험을 평가하는 데 도움이 됩니다. 고유 위험은 위험 완화 조치를 구현하기 전의 위험 수준을 나타냅니다. IRQ는 다음 활동을 지원합니다.

위험 요인 결정

• 외부 공급업체가 제공하는 서비스의 특성.
• 관련된 데이터의 민감도입니다.
• 외부 공급업체의 지리적 위치입니다.
• 외부 공급업체의 전반적인 보안 태세입니다.

점수 매기기 또는 등급 결정

질문서에 대한 응답은 종종 외부 공급업체와 관련된 고유한 위험을 정량화하는 데 도움이 되도록 점수가 매겨지거나 등급이 매겨집니다. 이 점수 시스템은 위험 관리 노력의 우선순위를 정하는 데 도움이 될 수 있습니다.

의사 결정

IRQ의 결과는 의사 결정 과정에서 사용됩니다. 외부 공급업체 위험(TPR) 관리자 및 관리자는 질문에 대한 특정 응답을 기반으로 외부 공급업체에 특정 외부 평가(실사) 질문서를 보내도록 IRQ를 구성할 수 있습니다.

• 외부 공급업체와 협력해야 합니까?
• 어느 정도의 실사가 필요하십니까?
• 어떤 구체적인 위험 완화 조치를 구현해야 합니까?

진행 중인 실사

IRQ는 또한 제3자의 운영, 보안 관행 또는 기타 관련 요인의 변화를 설명하기 위한 주기적인 재평가를 통해 지속적인 관리의 일부일 수 있습니다.

실사(DD)

실 사는 잠재적 비즈니스 파트너, 공급업체 또는 벤더의 무결성, 평판, 재무 안정성, 법률 준수, 운영 능력, 공급망 및 기타 관련 요소를 철저히 조사하거나 검사하는 프로세스입니다. 외부 공급업체에 대한 실사 수행은 포괄적인 외부 공급업체 위험 프로그램의 중요한 구성 요소입니다. 관계를 형성하는 방법을 자신 있게 결정할 수 있도록 제3자와 관련된 위험을 인식하기 위해 실사를 수행합니다. 실사 워크플로우를 사용하여 새 계약을 온보딩하거나 기존 계약을 재평가 또는 폐기합니다. 실사 워크플로우에는 내부 평가, 외부 평가 및 위험 인텔리전스를 통한 정보 수집이 포함됩니다. 외부 공급업체 위험 관리자는 이러한 단계의 모든 점수를 분석하여 계약을 온보딩할지, 재평가할지, 폐기할지를 결정합니다. 또한 실사에는 실사 워크플로우를 종결하기 전에 계약 협상 프로세스(옵션)가 있습니다.

실사를 수행하는 이유 및 실사 유형 문서를 참조하십시오.

외부 공급업체 위험 평가

외부 공급업체 위험 평가 (TPRA)는 외부 공급업체 및 참여 위험을 평가하기 위해 외부 공급업체 연락처 또는 내부 사용자에게 보낼 수 있는 질문서 세트입니다. 내부 사용자에게 보내는 평가는 내부 평가로 분류됩니다. 외부 공급업체 접촉 창구에 보내는 평가를 외부 평가라고 합니다.

내부 평가를 사용하여 외부 공급업체 및 참여 계층을 계산합니다. 질문서 템플릿 테이블에서 내부 질문서를 식별하는 데 사용하는 분류는 고유 위험 질문서 템플릿 [irq_template]입니다. 내부 평가에서 받은 응답에 따라 외부 평가에 필요한 질문서를 자동으로 첨부할 수 있습니다. 질문 매핑 테이블 [sn_tprm_dd_m2m_question_to_questionnaire]에 대한 질문서에서 이 옵션을 구성할 수 있습니다.

외부 평가를 사용하여 수신하는 외부 공급업체 연락처 응답에 따라 외부 공급업체 및 참여와 관련된 위험을 평가합니다. 외부 평가의 위험 등급은 평가에 첨부된 모든 질문서를 사용하여 평가 수준에서 계산됩니다. 이러한 평가 등급은 집계되어 외부 공급업체 및 계약에 롤업됩니다. 집계는 MIN, MAX 또는 AVG이며 점수 매기기 설정에서 구성할 수 있습니다. 외부 공급업체 포털 https://<myCompany>.service-now.com/ svdp 의 외부 공급업체 연락처(외부 사용자)가 이러한 외부 평가에 응답합니다.

점수 매기기에 대한 자세한 내용은 다음 문서를 참조하십시오 외부 공급업체 위험 등급 및 채점 계산.

위험 인텔리전스 제공자

위험 인텔리전스 제공자는 다양한 외부 공급업체 위험 도메인에 대한 위험 점수를 생성합니다. 조직은 개인 신용 점수와 유사한 데이터를 반환하는 공급자로부터 서비스를 구입할 수 있습니다. 점수는 특정 제3자가 얼마나 신뢰할 수 있고 안전할 수 있는지에 대한 통찰력을 제공합니다.

위험 인텔리전스 제공자의 점수 통합 문서를 참조하십시오.

위험 인텔리전스 점수

위험 인텔리전스 점수 는 특정 조직과 관련된 위험 수준을 평가하는 수치 평가입니다. 이러한 점수는 광범위한 데이터 소스를 수집하고 분석하는 위험 인텔리전스 제공자에 의해 생성됩니다. 점수는 등급이든 숫자든 어떤 형태로든 나타날 수 있습니다. 시스템은 점수 값을 적절한 TPRM 등급에 매핑합니다. 이러한 점수는 조직이 외부 공급업체와의 협력, 규정 준수 관리 및 잠재적 위험 완화에 대해 정보에 입각한 결정을 내리는 데 도움이 될 수 있습니다. 위험 인텔리전스 점수는 릴리스 시점 Washington DC 부터 외부 공급업체에서 사용할 수 있습니다. 위험 등급은 점수 매기기 설정의 참여와 연결된 점수 규칙에 따라 계산됩니다.

외부 공급업체 점수

이러한 점수는 조직이 외부 공급업체 관계를 선택하고 관리하는 것에 대해 정보에 입각한 결정을 내리는 데 도움이 되며, 이를 통해 위험 허용 범위 및 규정 준수 요구 사항에 부합할 수 있습니다. 조직은 외부 공급업체 점수를 평가하여 잠재적 위험을 식별하고, 실사 노력의 우선순위를 지정하고, 적절한 위험 완화 전략을 구현할 수 있습니다.

위험 등급 구성요소

구성요소는 위험을 평가할 수 있는 엔터티입니다. 기본 시스템에는 계약, 외부 모니터링, 자회사 및 외부 공급업체 위험 평가가 포함됩니다. 위험은 각 구성요소에 대해 계산된 다음 위험이 집계되고 롤업되어 외부 공급업체 위험 등급을 계산합니다.

구성요소 기준은 외부 공급업체가 구성요소를 사용하는 방법에 대한 정의입니다. 구성요소 기준은 특정 유형의 외부 공급업체 또는 계약에 적용되어야 하는 구성요소 그룹입니다.

위험 영역 또는 도메인은 외부 공급업체에 대해 평가할 위험 유형을 정의합니다. 이는 일반적으로 외부 공급업체가 운영하거나 제품/서비스를 제공하는 영역/도메인에 맞춰집니다. 예를 들어 데이터 관리 외부 공급업체는 보안 위험 측면에서 평가하고 은행은 재무 위험 측면에서 평가할 수 있습니다.

위험 영역 기준은 외부 공급업체가 위험 영역을 사용하는 방법에 대한 정의이며 위험 영역 기준에 정의됩니다. 외부 공급업체 위험 영역 기준은 특정 유형의 외부 공급업체에 적용될 수 있는 위험 도메인 또는 영역의 그룹(또는 그룹화)입니다. 예를 들어 보안, 재무 및 평판 위험 도메인은 외부 공급업체에 적용해야 하는 위험 영역 기준으로 그룹화할 수 있습니다. 위험을 평가할 비즈니스 도메인을 식별하고 각 도메인의 중요도(가중치)를 정량화하여 제3자가 조직에 미치는 위험을 더 잘 이해하고 완화할 수 있습니다.

점수 규칙

점수 산정 규칙은 구성요소 기준 및 위험 영역 기준을 외부 공급업체에 적용하는 메커니즘과 계약에 대한 위험 영역 기준을 제공합니다.

외부 공급업체의 경우 구성요소 기준에 따라 적용 가능한 특정 구성요소와 각 구성요소에 대한 관련 점수 산정 방법이 결정됩니다. 이러한 구성 요소에는 지리적 위치, 전반적인 보안 태세, 내부 및 외부 평가 결과가 포함될 수 있습니다. 이러한 구성요소에 대한 점수 매기기 방법은 점수 매기기 설정에서 구성됩니다. 예를 들어 지리적 위치 및 전반적인 보안 태세에 대한 내부 평가는 내부 평가 프로세스의 일부이며 외부 평가는 MIN, MAX 또는 AVG와 같은 방법을 사용하여 위험 등급을 계산합니다. 또한 외부 제공자의 위험 인텔리전스 점수가 적절한 등급에 매핑되고 외부 평가 점수와 결합되어 전체 외부 공급업체 점수를 형성합니다.

외부 공급업체의 경우 위험 영역 기준에 따라 적용할 수 있는 특정 위험 영역(또는 도메인)과 각 위험 영역에 대한 관련 점수 산정 방법이 결정됩니다.

외부 공급업체 요소

외부 공급업체 요소는 외부 공급업체 또는 계약에서 상품, 서비스 또는 지원을 제공하기 위해 의존하는 외부 조직입니다. 이러한 조직에는 벤더, 공급업체, 계약자, 개인 또는 외부 공급업체 또는 계약의 시스템, 데이터 또는 시설에 액세스할 수 있는 기타 외부 조직이 포함될 수 있습니다. 이러한 외부 공급업체 요소의 취약성이나 실패는 외부 공급업체 또는 참여자의 운영, 평판 및 보안에 상당한 영향을 미칠 수 있습니다. 이러한 통제를 구현하고 관련 위험을 해결함으로써 조직은 외부 공급업체 및 외부 공급업체 요소의 잠재적인 부정적인 영향을 관리하고 완화하는 능력을 향상시킬 수 있습니다. 이러한 통제를 정기적으로 재평가하고 업데이트하는 것은 비즈니스 환경 및 규제 환경의 변화에 적응하는 데 필수적입니다.

다음은 외부 공급업체 요소와 이에 관련된 통제 및 잠재적 위험의 몇 가지 예입니다.

데이터 센터

외부 공급업체 또는 계약이 데이터 및 IT 인프라의 저장, 처리 및 관리를 아웃소싱하는 시설 또는 위치입니다.

컨트롤:

• 벤더 보안 평가: 클라우드 호스팅 또는 데이터 스토리지와 같은 서비스를 제공하는 타사 벤더의 보안 조치 및 관행을 정기적으로 평가합니다.
• 데이터 암호화: 데이터 센터에 저장된 데이터가 암호화되어 무단 액세스로부터 보호되는지 확인합니다.
• 접근 제어: 데이터 센터 시설 및 서버에 대한 물리적 및 가상 접근을 제한하기 위해 엄격한 접근 제어를 구현합니다.
• 인시던트 응답 계획: 보안 인시던트를 즉시 해결하기 위해 포괄적인 인시던트 응답 계획을 개발하고 유지합니다.

위험:

• 데이터 침해: 타사 데이터 센터의 침해로 인해 무단 액세스 및 민감한 정보 손상이 발생할 수 있습니다.
• 다운타임: 타사 데이터 센터에 의존하면 서비스 제공자에 기술적인 문제가 발생할 경우 조직이 다운타임의 위험에 처하게 됩니다.
• 규정 준수 위반: 데이터 센터가 산업 또는 규정 준수 표준을 준수하지 않으면 조직에 법적 및 재정적 결과가 발생할 수 있습니다.

제조 시설

제3자 또는 계약이 제품의 생산 또는 조립을 아웃소싱하는 시설 또는 위치.

컨트롤:

• 공급업체 감사: 제조 공정에 중요한 구성 요소 또는 서비스를 제공하는 공급업체의 보안 관행을 정기적으로 감사하고 평가합니다.
• 품질 보증 표준: 제3자 공급업체에 대한 품질 보증 표준을 시행하여 원자재 및 구성 요소의 무결성과 안전성을 증진합니다.
• 공급망 가시성: 전체 공급망에 대한 가시성을 유지하여 잠재적인 취약성을 식별하고 해결합니다.
• 계약상 합의: 보안 요구 사항 및 규정 미준수에 대한 결과를 설명하는 명확한 계약서를 공급업체와 체결합니다.

위험:

• 공급망 중단: 외부 공급업체 공급업체에 대한 의존도는 조직을 공급망 중단의 위험에 노출시켜 생산에 영향을 미칩니다.
• 위조 부품: 공급망에 대한 부적절한 관리는 위조 또는 표준 이하의 구성 요소의 사용으로 이어져 제품 품질을 저하시킬 수 있습니다.
• 규정 준수 문제: 공급업체가 규제 표준을 준수하지 않으면 제조 시설에 법적 및 규제적 결과가 발생할 수 있습니다.

수익 소유자

비즈니스 관계 또는 거래에 관여하는 조직을 최종적으로 소유하거나 통제하는 개인입니다. 이러한 개인은 조직의 등록 또는 법적 소유자가 아닐 수 있지만 조직의 운영, 의사 결정 또는 재정 문제에 상당한 영향력을 행사하거나 통제할 수 있습니다.

컨트롤:

• 실사: 필요한 경우 배경 확인, 문서 검토 및 인터뷰를 포함하여 수익적 소유자를 식별하고 확인하기 위해 강력한 실사 프로세스를 통합합니다.
• 계약상 의무: 제3자와의 계약서에 수익적 소유권의 변경 사항을 공개하고 관련 법률 및 규정을 준수하는지 확인하도록 요구하는 조항을 포함합니다.
• 모니터링 및 보고: 수익적 소유자를 지속적으로 모니터링하는 시스템을 구축하여 제3자의 위험 프로필에 영향을 미칠 수 있는 변경 또는 개발을 감지합니다.
• 교육 및 인식: 위험 신호 및 보고 절차를 포함하여 수익적 소유권을 이해하고 모니터링하는 것의 중요성에 대해 관련 직원에게 교육을 제공합니다.
• 규정 준수 프로그램: 보고 및 공개 요구 사항을 포함하여 수익적 소유권과 관련된 모든 관련 법률 및 규정의 준수를 확인하는 프로그램을 개발하고 유지 관리합니다.
• 에스컬레이션 절차: 수익적 소유권과 관련된 우려 사항이나 불규칙성이 확인된 경우 명확한 에스컬레이션 절차를 수립하여 시기 적절하고 적절한 조치를 장려합니다.

위험:

• 숨겨진 소유권: 수익적 소유자는 의도적으로 소유권을 숨길 수 있으므로 제3자에 대한 영향력과 관련된 잠재적 위험을 평가하기 어려울 수 있습니다.
• 평판 위험: 수익 소유자의 평판이 의심스러운 경우 이들과 관련되면 조직의 평판에 해를 끼칠 수 있습니다.
• 규정 준수: 수익적 소유권 보고 및 투명성과 관련된 규정을 준수하지 않으면 법적 및 규제적 결과가 발생할 수 있습니다.
• 재정적 위험: 재정적 불안정이 있거나 사기 행위에 연루된 수익적 소유자는 제3자 및 결과적으로 조직에 재정적 위험을 초래할 수 있습니다.