단일 외부 공급업체와 여러 계약을 맺을 수 있는 이유
특정 외부 공급업체를 온보딩하는 동안 외부 공급업체와의 관계 유형별로 별도의 계약을 수행할 수 있습니다. 한 가지 참여는 외부 공급업체의 조직을 위한 소프트웨어 개발과 관련된 위험을 평가하는 것이고 별도의 참여는 외부 공급업체가 제공하는 시설 관리 서비스에 대한 것입니다.
동일한 외부 공급업체의 다른 계약에는 다양한 수준의 위험 평가가 필요할 수 있습니다.
주:
계약 요청이 승인된 후 첫 번째 내부 단계는 외부 공급업체의 위험 점수를 결정하여 위험의 범위를 지정하는 IRQ 프로세스를 시작하는 것입니다.
참여는 비활성 상태에서 시작됩니다. 계약이 체결 중이거나 사용자가 외부 공급업체와 활성 관계에 참여하면 참여가 활성 상태로 전환됩니다.
동일한 외부 공급업체의 서로 다른 계약에는 제공되는 서비스의 특성, 민감한 데이터 또는 중요 시스템에 대한 액세스 수준, 조직의 인프라에 대한 잠재적 영향의 차이로 인해 다양한 수준의 위험 평가가 필요할 수 있습니다. 각 계약에 대해 별도의 위험 평가를 수행하여 위험 관리 전략과 통제를 맞춤화하여 각 계약과 관련된 위험을 효과적으로 해결할 수 있습니다.
예 - 외부 공급업체는 두 가지 별개의 서비스를 제공합니다.
이 예에서 조직은 두 가지 고유한 서비스를 위해 외부 공급업체와 협력합니다.
- 서비스: 소프트웨어 개발 계약
- 외부 공급업체는 금융 기관에 대한 사용자 지정 소프트웨어 애플리케이션을 개발할 책임이 있습니다. 이 계약에는 외부 공급업체가 중요한 고객 데이터에 액세스 및 처리하고, 중요한 시스템과 통합하고, 잠재적으로 조직의 인프라에 변경 사항을 도입하는 작업이 포함됩니다.
- 서비스: 시설 관리
- 또한 제3자는 금융 기관 사무실 건물의 물리적 보안 및 유지 보수를 관리할 책임이 있습니다. 이 참여에는 보안 인력 제공, 출입 통제 시스템 관리, 시설의 전반적인 안전 및 유지 관리 확인이 포함됩니다.
서비스는 서로 다른 위험 프로필을 제시하며 별도의 위험 평가 참여가 필요합니다.
- 소프트웨어 개발 서비스에 대한 계약
이 참여는 다음 요인으로 인해 더 높은 수준의 위험을 수반합니다.
- 민감한 데이터에 대한 액세스: 외부 공급업체는 고객 데이터에 액세스할 수 있으며, 이를 위해서는 무단 액세스 또는 데이터 침해를 방지하기 위해 엄격한 데이터 보호 및 개인 정보 보호 제어가 필요합니다.
- 시스템 통합: 외부 공급업체의 소프트웨어는 중요한 시스템과 통합되어야 하며, 이는 해당 시스템의 안정성, 가용성 또는 보안에 잠재적으로 영향을 미칠 수 있습니다. 적절한 테스트 및 품질 보증 절차는 시스템 오류 또는 취약성의 위험을 최소화하는 데 매우 중요합니다.
- 변경 관리: 새 소프트웨어를 도입하거나 기존 시스템을 변경하면 호환성 문제, 시스템 중단 또는 소프트웨어 취약성과 같은 위험이 발생할 수 있습니다. 이러한 위험을 완화하려면 강력한 변경 관리 관행과 코드 검토 프로세스가 필요합니다.
- 시설 관리 서비스 참여
이 계약에는 동일한 외부 공급업체도 포함되지만 소프트웨어 개발 계약과 비교할 때 위험 프로필이 더 낮습니다.
- 물리적 보안: 여기서는 액세스 제어 및 감시 시스템과 같은 물리적 보안 조치를 관리하는 데 중점을 둡니다. 물리적 보안과 관련된 위험은 여전히 중요하지만 일반적으로 사이버 보안 위험에 비해 더 간단하고 관리하기 쉽습니다.
- 유지 보수 및 안전: 제3자의 책임은 주로 일반 유지 관리 및 안전한 작업 환경 조성과 관련이 있습니다. 건물 유지 관리와 관련된 위험(예: 안전 위험)이 여전히 존재하지만 소프트웨어 개발 참여의 복잡한 사이버 보안 위험에 비해 더 예측 가능하고 관리하기 쉬울 수 있습니다.