하나의 외부 공급업체와 여러 계약을 맺을 수 있는 이유
특정 외부 공급업체를 온보딩하는 동안 외부 공급업체와의 고유한 관계 유형 각각에 대해 별도의 참여를 수행할 수 있습니다. 첫 번째 계약은 외부 공급업체의 조직용 소프트웨어 개발과 관련된 위험을 평가하는 것이고, 외부 공급업체가 제공하는 시설 관리 서비스에 대한 별도의 계약입니다.
동일한 외부 공급업체의 계약에 따라 다양한 수준의 위험 평가가 필요할 수 있습니다.
주:
계약 요청이 승인된 후 첫 번째 내부 단계는 외부 공급업체의 위험 점수를 결정하여 위험의 범위를 지정하는 IRQ 프로세스를 시작하는 것입니다.
계약은 비활성 상태에서 시작됩니다. 계약이 체결되거나 외부 공급업체와 활성 관계에 참여하는 경우 계약이 활성 상태로 이동합니다.
동일한 외부 공급업체의 서로 다른 계약에는 제공된 서비스의 특성, 중요한 데이터 또는 중요 시스템에 대한 액세스 수준, 조직의 인프라에 대한 잠재적 영향의 차이로 인해 서로 다른 수준의 위험 평가가 필요할 수 있습니다. 각 계약에 대해 별도의 위험 평가를 수행하여 위험 관리 전략과 통제를 조정하여 각 계약과 관련된 위험을 효과적으로 해결할 수 있습니다.
예 — 외부 공급업체는 두 가지 고유한 서비스를 제공합니다.
이 예에서 조직은 두 가지 고유한 서비스에 대해 외부 공급업체와 협력합니다.
- 서비스: 소프트웨어 개발 계약
- 외부 공급업체는 금융 기관을 위한 사용자 지정 소프트웨어 응용 프로그램 개발을 담당합니다. 이 계약에는 타사 중요한 고객 데이터 액세스 및 처리, 중요한 시스템과 통합, 조직의 인프라에 변경 사항 도입 등이 포함됩니다.
- 서비스: 시설 관리
- 또한 외부 공급업체는 금융 기관 사무실 건물의 물리적 보안 및 유지 관리를 관리할 책임이 있습니다. 이 계약에는 보안 인력 제공, 출입 통제 시스템 관리, 시설의 전반적인 안전 및 유지 관리 확인이 포함됩니다.
이 서비스는 서로 다른 위험 프로필을 제공하며 별도의 위험 평가 작업이 필요합니다.
- 소프트웨어 개발 서비스 계약
이 계약에는 다음 요인으로 인해 더 높은 수준의 위험이 수반됩니다.
- 민감한 데이터에 대한 액세스: 제3자는 고객 데이터에 액세스할 수 있으며, 이를 위해서는 무단 액세스 또는 데이터 침해를 방지하기 위해 엄격한 데이터 보호 및 개인 정보 통제가 필요합니다.
- 시스템 통합: 타사 소프트웨어는 중요한 시스템과 통합되어야 하며, 이는 잠재적으로 해당 시스템의 안정성, 가용성 또는 보안에 영향을 미칠 수 있습니다. 적절한 테스트 및 품질 보증 절차는 시스템 오류 또는 취약성의 위험을 최소화하는 데 매우 중요합니다.
- 변경 관리: 새 소프트웨어를 도입하거나 기존 시스템을 변경하면 호환성 문제, 시스템 중단 또는 소프트웨어 취약성과 같은 위험이 발생할 수 있습니다. 이러한 위험을 완화하려면 강력한 변경 관리 관행과 코드 검토 프로세스가 필요합니다.
- 시설 관리 서비스에 대한 참여
이 계약에는 동일한 외부 공급업체도 관련되어 있지만 소프트웨어 개발 계약과 비교할 때 위험 프로필이 더 낮습니다.
- 물리적 보안: 여기서는 액세스 제어 및 감시 시스템과 같은 물리적 보안 조치를 관리하는 데 중점을 둡니다. 물리적 보안과 관련된 위험은 여전히 중요하지만 일반적으로 사이버 보안 위험에 비해 더 간단하고 관리하기 쉽습니다.
- 유지 관리 및 안전: 제3자의 책임은 주로 일반 유지 관리 및 안전한 작업 환경 조성과 관련이 있습니다. 건물 유지관리와 관련된 위험(예: 안전 위험)이 여전히 존재하지만, 소프트웨어 개발 계약의 복잡한 사이버 보안 위험에 비해 더 예측 가능하고 관리하기 쉬울 수 있습니다.