サードパーティレコードの作成 - 従来のプロセス

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • 組織が関与するサードパーティの主要なデータと連絡先情報を設定します。

    始める前に

    サードパーティのポートフォリオを更新する前にシステム管理者にお問い合わせください。

    必要なロール:sn_vdr_risk_asmt.vendor_risk_manager または sn_vdr_risk_asmt.vendor_risk_admin

    このタスクについて

    TPR マネージャーは、新しいレコードの追加に加えて、リスクセキュリティスコア、リスク階層、重要なサードパーティの連絡先、サードパーティが実施するビジネスサービスなどのサードパーティ情報を継続的に更新します。

    スプレッドシートからサードパーティデータをインポートしたり、オンボーディングシステムからデータを統合したり、ベンダーテーブルからデータをインポートしたりすることができます。

    手順

    1. プロセスを開始するには、次のいずれかの方法を使用します。
      • ベンダー管理ワークスペースで、[リスト] アイコン ([リスト]) をクリックし、次に移動します。 サードパーティ > すべてのサードパーティ.
      • 移動先 すべて > サードパーティリスク管理 > すべてのサードパーティ.
    2. [新規] をクリックして、各フィールドに入力します。
      表 : 1. [サードパーティ] フォーム
      フィールド 説明
      名前 サードパーティの名前。
      Web サイト サードパーティの URL。
      DUNS 番号 単一のビジネスエンティティの一意の数値識別子。DUNS番号は、ビジネスに法的に義務付けられていません。
      業界 業界のタイプ。
      ベンダータイプ サードパーティが提供する製品やサービスのタイプを指定します。
      サードパーティ階層を設定し、このサードパーティが子会社である場合は、親サードパーティを選択します。
      合計年間消費量 このサードパーティに毎年費やすと予想される金額。
      セキュリティスコア リスクインテリジェンスプロバイダーに提供されるセキュリティスコア。
      スコアプロバイダー 正規化されたセキュリティスコアを提供したリスクインテリジェンスプロバイダー。
      ステータス サードパーティのステータス。
      契約開始日 契約したエンゲージメントを開始する日付。
      リスク評価 サードパーティリスクアセスメント応答を受信すると、コンポーネント (つまり、アセスメント、エンゲージメント、および子会社のリスク評価) の加重平均が計算されます。詳細については、「サードパーティの階層とエンゲージメントの設定 - 従来のプロセス」を参照してください。
      ランク サプライヤーのタイプ。
      サードパーティ階層 階層スコアをリスク層にマッピングすることによって計算された、サードパーティのリスク層。
      ベンダーマネージャー このサードパーティを管理するためにアサインされた従業員。
      事業主 日常業務でこのサードパーティを使用する従業員。
      メモ 追加情報。
      [連絡先] タブ
      番地 サードパーティの所在地の番地。
      市区町村 サードパーティの所在地の市区町村。
      都道府県 サードパーティの所在地の都道府県。
      郵便番号 サードパーティの所在地の郵便番号。
      サードパーティの国。
      電話 サードパーティの電話番号。
      FAX サードパーティのファックス番号。
      [プロファイル] タブ
      株式公開 サードパーティが株式公開されているかどうか。
      在庫記号 サードパーティの銘柄記号。
      1 年あたりの収益 サードパーティの年間収益。
      従業員数 サードパーティの従業員数。
      バナーイメージ サードパーティのバナー画像。
      バナーテキスト サードパーティのバナーテキスト。
      [リスクスコアリング] タブ
      計算済みリスク評価 サードパーティリスク領域のリスク評価の平均。
      リスク評価を上書き サードパーティの計算されたリスク評価を上書きできます。
      アセスメントリスク評価

      計算されたリスクアセスメント評価。 リスク評価スケールは、ビジネスユーザーがリスクアセスメント結果をよりよく理解するのに役立ちます。たとえば、デフォルト設定では、20 ~ 39 のリスクスコアは高リスクを示し、60 ~ 79 の範囲のスコアは低リスクを示します。
      エンゲージメントリスク評価

      計算されたエンゲージメント評価。 リスク評価スケールは、ビジネスユーザーがリスクアセスメント結果をよりよく理解するのに役立ちます。たとえば、デフォルト設定では、20 ~ 39 のリスクスコアは高リスクを示し、60 ~ 79 の範囲のスコアは低リスクを示します。

      子会社のリスク評価

      子サードパーティのリスク評価

      子会社の計算済みリスク評価。 リスク評価スケールは、ビジネスユーザーがリスクアセスメント結果をよりよく理解するのに役立ちます。たとえば、デフォルト設定では、20 ~ 39 のリスクスコアは高リスクを示し、60 ~ 79 の範囲のスコアは低リスクを示します。
      リスクインテリジェンス評価 リスクインテリジェンスプロバイダーからのスコアの統合」を参照してください。
      優先リスク評価 [リスク評価を上書き] を選択した場合、新しいリスク評価を入力します。
      上書き日 [リスク評価を上書き] を選択した場合は、上書きが発生した日付。
      正当性 [リスク評価を上書き] を選択した場合、上書きの理由を入力する必要があります。
    3. が他のGRCアプリケーションと統合されている場合サードパーティリスク管理、またはベンダー階層 (サードパーティリスクドメイン、コンポーネント基準、リスク採点ルール) を設定している場合は、フォームに以下の関連リストの一部またはすべてを含めることができます。

      詳細については、「サードパーティの階層とエンゲージメントの設定 - 従来のプロセス」を参照してください。

      注:
      リスクドメインは、一部のプラットフォームアプリケーションでは「リスク領域」と呼ばれます。
      • 子ベンダー: このテーブルには、子会社のすべての情報が格納されます。子会社のリスク評価は自動的に集計され、[サードパーティ] フォームの [リスク評価 ] タブに表示されます。
      • ベンダー連絡先:このテーブルには、すべてのサードパーティステークホルダーの情報が保存されます。通常、顧客はサードパーティの主要連絡先 1 つとセカンダリ連絡先 1 つ以上を作成します。プライマリ連絡先が、他の連絡先をリストに追加します。
      • [ビジネスサービス]:サービステーブルは CMDB の一部です。サードパーティを、そのサードパーティが提供するサービスに関連付けます。たとえば、IT チームが「ビデオ会議サービス」と呼ばれるサービスを所有しており、これを社内の従業員が社内および顧客と通信するために使用するとします。そのビジネスサービスには、自社で構築するのではなく、Zoom から提供されるサービスを使用すると決定しました。
      • ベンダーエンゲージメント:このテーブルには、サードパーティのすべてのエンゲージメント情報が保存されます。エンゲージメントのリスク評価は、[サードパーティ] フォームの [ リスク評価 ] タブに表示されるとおりに自動的に集計されます。
      • 階層アセスメント: このテーブルには、階層アセスメントの履歴が保存されます。
      • 繰り返しアセスメント: このテーブルには、繰り返しアセスメントの履歴が保存されます。
      • 評価: このテーブルには、アセスメントの履歴が保存されます。アセスメントリスク評価は自動的に集計され、[サードパーティ] フォームの [ リスク評価 ] タブに表示されます。
      • ベンダーリスクコンポーネント:このテーブルには、すべてのサードパーティリスクコンポーネントが格納されます。サードパーティリスクコンポーネント (つまり、アセスメント、エンゲージメント、または子会社) が存在する場合、そのリスク評価が自動的に集計され、[サードパーティ] フォームの [ リスク評価 ] タブに表示されます。
      • 問題: このテーブルには、問題の履歴が保存されます。
      • タスク: このテーブルには、タスクの履歴が保存されます。