Warum Sie möglicherweise mehrere Interaktionen mit einer einzelnen Drittpartei haben

  • Freigeben Version: Washingtondc
  • Aktualisiert 7. Februar 2024
  • 2 Minuten Lesedauer

    • Beim Onboarding einer bestimmten Drittpartei führen Sie möglicherweise eine separate Interaktion für jede Art von Beziehung durch, die Sie mit der Drittpartei haben. Eine Interaktion besteht in der Bewertung des Risikos, das mit der Entwicklung von Software für Ihre Organisation durch eine Drittpartei verbunden ist, und eine separate Interaktion für den von ihr bereitgestellten Facility-Management-Service.

    Unterschiedliche Interaktionen derselben Drittpartei erfordern möglicherweise unterschiedliche Risikobewertungsebenen

    Hinweis:
    Der erste interne Schritt nach der Genehmigung einer Interaktionsanforderung besteht darin, den IRQ-Prozess zu starten, um das Risiko durch Bestimmung der Risikopunktzahl der Drittpartei zu erfassen. Eine Interaktion beginnt im inaktiven Status. Eine Interaktion wird in den aktiven Status verschoben, wenn ein Vertrag besteht oder Sie an einer aktiven Beziehung mit der Drittpartei teilnehmen.

    Unterschiedliche Interaktionen derselben Drittpartei können unterschiedliche Risikobewertungsebenen erfordern, da die Art der bereitgestellten Services, die Zugriffsebene auf vertrauliche Daten oder kritische Systeme und die potenziellen Auswirkungen auf die Infrastruktur Ihrer Organisation unterschiedlich sind. Durch die Durchführung einer separaten Risikobewertung für jede Interaktion können Sie Ihre Risikomanagementstrategien und -kontrollen so anpassen, dass die mit jeder Interaktion verbundenen Risiken effektiv angegangen werden.

    Beispiel: Die Drittpartei stellt zwei unterschiedliche Services bereit

    In diesem Beispiel arbeitet Ihr Unternehmen mit einer Drittpartei für zwei verschiedene Services zusammen:
    Service: Software Development Engagement
    Die Drittpartei ist für die Entwicklung einer benutzerdefinierten Softwareanwendung für das Finanzinstitut verantwortlich. Bei dieser Interaktion greift die Drittpartei auf vertrauliche Kundendaten zu und verarbeitet sie, integriert sie in kritische Systeme und führt möglicherweise Änderungen an der Infrastruktur der Organisation durch.
    Service: Facilities Management
    Die Drittpartei ist auch für die Verwaltung der physischen Sicherheit und Wartung der Bürogebäude des Finanzinstituts verantwortlich. Diese Aufgabe umfasst die Bereitstellung von Sicherheitspersonal, die Verwaltung von Zutrittskontrollsystemen und die Bestätigung der allgemeinen Sicherheit und Wartung der Einrichtungen.
    Die Services weisen unterschiedliche Risikoprofile auf und erfordern separate Risikobewertungen:
    Interaktion für den Softwareentwicklungsservice

    Diese Interaktion beinhaltet aufgrund der folgenden Faktoren ein höheres Risiko:

    • Zugriff auf vertrauliche Daten: Die Drittpartei hat Zugriff auf Kundendaten, was strikte Datenschutz- und Datenschutzkontrollen erfordert, um nicht autorisierten Zugriff oder Datenschutzverletzungen zu verhindern.
    • Systemintegration: Die Software der Drittpartei muss in kritische Systeme integriert werden, was sich möglicherweise auf die Stabilität, Verfügbarkeit oder Sicherheit dieser Systeme auswirkt. Richtige Test- und Qualitätssicherungsverfahren sind entscheidend, um das Risiko von Systemfehlern oder Schwachstellen zu minimieren.
    • Change-Management: Die Einführung neuer Software oder Änderungen an vorhandenen Systemen können Risiken wie Kompatibilitätsprobleme, Systemunterbrechungen oder Softwareschwachstellen mit sich bringen. Um diese Risiken zu minimieren, sind robuste Change-Management-Praktiken und Codeüberprüfungsprozesse erforderlich.
    Interaktion für den Facility-Management-Service

    Obwohl an dieser Interaktion auch dieselbe Drittpartei beteiligt ist, ist das Risikoprofil im Vergleich zur Softwareentwicklungsinteraktion geringer:

    • Physische Sicherheit: Der Schwerpunkt liegt hier auf der Verwaltung physischer Sicherheitsmaßnahmen wie Zugriffskontroll- und Überwachungssysteme. Die mit physischer Sicherheit verbundenen Risiken sind zwar immer noch wichtig, aber im Vergleich zu Cybersicherheitsrisiken in der Regel unkomplizierter und leichter zu verwalten.
    • Wartung und Sicherheit: Die Verantwortung der Drittpartei bezieht sich in erster Linie auf die allgemeine Wartung und die Förderung einer sicheren Arbeitsumgebung. Zwar sind mit der Gebäudewartung immer noch Risiken verbunden (z. B. Sicherheitsrisiken), aber diese sind im Vergleich zu den komplexen Cybersicherheitsrisiken bei der Softwareentwicklung möglicherweise vorhersehbarer und überschaubarer.