Intégrations des fournisseurs de renseignements sur les risques

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • L’application Gestion des risques liés aux tiers inclut la prise en charge des intégrations de fournisseurs de renseignements sur les risques. Ces directives peuvent aider votre organisation à développer une intégration de fournisseur de renseignements sur les risques pour les demandes de rapport d’intelligence sur les risques (RIR) pour des tiers et les demandes de diligence raisonnable.

    Exigences d’intégration

    L’application TPRM permet à votre organisation de s’intégrer à des fournisseurs de contenu externes de renseignements sur les risques. Si vous disposez du rôle d’évaluateur de risque de tiers (TPR) [sn_vdr_risk_asmt.vendor_risk_assessor] ou de gestionnaire TPR [sn_vdr_risk_asmt.vendor_risk_manager], vous pouvez demander les scores ou les rapports pour des tiers à l’aide du formulaire de demande de renseignements sur les risques. Une fois les rapports générés par le fournisseur, les liens vers les rapports sont téléchargés dans l’application Gestion des risques liés aux tiers et associés au tiers concerné.
    Remarque :
    Avant de demander des rapports et des scores, un membre de l’équipe ayant le rôle de réviseur d’évaluation TPR [sn_vdr_risk_asmt.vendor_assessment_reviewer] doit enregistrer les fournisseurs et configurer à la fois les fournisseurs et les types de demande dans l’application Gestion des risques liés aux tiers . Pour en savoir plus, consultez Enregistrer un fournisseur de renseignements sur les risques, Configurer un service de fournisseur de renseignements sur les risques et Configurer un type de demande pour un fournisseur.

    Le diagramme suivant montre les états du flux de demande RIR et leur relation avec les exigences d’intégration pour les fournisseurs de renseignements sur les risques.

    Figure 1. Intégration des demandes RIR
    Diagramme de flux d’intégration RIR. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple.

    Processus d’intégration :

    1. Toutes les demandes RIR dans l’état Commande en attente sont prêtes à être envoyées au fournisseur de renseignements sur les risques.
    2. Une tâche nocturne est configurée par l’API d’intégration pour vérifier les enregistrements de demande de rapport qui sont dans l’état En attente de la commande.
    3. L’API d’intégration met à jour l’état de l’enregistrement de la demande RIR sur Commande en cours,

    4. L’API d’intégration envoie un paquet au fournisseur qui inclut les noms des enregistrements et leurs tables sources correspondantes :

      • rir_sysid [sn_tprm_dd_risk_intel_request]
      • provider_sysid [sn_vdr_risk_asmt_tpss_provider_basic]
      • third_party_sysid [core_company]
      • third_party_name [core_company]
      • request_type_sysid [sn_tprm_dd_risk_intel_request_type]
      • request_type_name [sn_tprm_dd_risk_intel_request_type]
      • provider_service_sysid [sn_vdr_risk_asmt_tpss_provider]
    5. Si le paquet n’est pas envoyé avec succès, l’API d’intégration met à jour l’état de la demande RIR sur Fermé incomplet.
    6. Après réception de la demande RIR, le fournisseur de renseignements sur les risques la traite et collecte des informations, notamment l’URL, le score et le contenu.
    7. Le fournisseur de renseignements sur les risques renvoie un paquet à charger dans l’application Gestion des risques liés aux tiers .

      Le paquet contient les noms suivants des enregistrements, leurs tables sources correspondantes et leur contenu :

      • rir_sysid [sn_tprm_dd_risk_intel_request]
      • provider_sysid [sn_vdr_risk_asmt_tpss_provider_basic]
      • third_party_sysid [core_company]
      • request_type_sysid [sn_tprm_dd_risk_intel_request_type]
      • provider_service_sysid [sn_vdr_risk_asmt_tpss_provider]
      • URL
      • score
      • évaluation
      • contenu
      Remarque :
      Le score ou la note doit être le score ou l’évaluation du fournisseur. Le fournisseur doit avoir configuré un mappage pour convertir le score du fournisseur en ServiceNow score via un enregistrement Service du fournisseur.

    8. À l’aide des informations sur les paquets, l’API d’intégration crée un enregistrement de score de renseignements sur les risques [sn_vdr_risk_asmt_security_score] et remplit le champ d’URL. Cette URL est utilisée pour télécharger et joindre les rapports à l’enregistrement de demande RIR associé [sn_tprm_dd_risk_intel_request].

    9. L’API d’intégration met à jour l’état de la demande RIR de Commande en cours à Fermé terminé ou Fermé incomplet, selon que le fournisseur de renseignements sur les risques complète le rapport ou ne l’envoie pas et décide de fermer la commande.

    Limitations

    L’API d’intégration ne met pas à jour l’enregistrement du score dans la table de scores. Si l’API ne parvient pas à remplir un champ lors de la création d’un enregistrement de score, un nouvel enregistrement de score est créé au lieu de mettre à jour l’enregistrement existant. Par exemple, si l’API n’a pas associé un score à une demande RIR, elle doit appeler à nouveau l’API pour créer un nouveau score et l’associer à la demande RIR.

    États des demandes de rapports d’intelligence sur les risques

    Les demandes de rapport d’intelligence sur les risques ont les états potentiels suivants :

    Ouvert
    Une demande RIR entre dans cet état une fois que l’enregistrement a été créé et enregistré par le gestionnaire de risques tiers (TPR), l’évaluateur TPR ou le négociateur du contrat qui est affecté à la demande de diligence raisonnable. Pour chaque demande d’intelligence sur les risques, le système attribue automatiquement un numéro d’identification unique qui commence par le texte RIR.
    Commande en attente
    Une demande RIR entre dans cet état après que l’enregistrement a été soumis par le gestionnaire de risques tiers (TPR), l’évaluateur TPR ou le négociateur du contrat affecté à la demande de diligence raisonnable.

    Les modifications suivantes ont lieu :

    • La commande a été soumise au fournisseur.
    • Le champ Date de la demande a été renseigné avec la date à laquelle cet enregistrement a été soumis.
    • Tous les champs de la section de demande de rapport d’intelligence sur les risques sont en lecture seule.
    Commande en cours
    Une demande RIR entre dans cet état après réception de la commande par le fournisseur.

    Les modifications suivantes ont lieu :

    • Les enregistrements de scores sont générés avec la demande de rapport.
    • Le champ Score généré le est mis à jour.
    Fermé incomplet
    Une demande RIR entre dans cet état après que la commande a été reçue par le fournisseur, mais n’a pas pu être traitée en raison d’une erreur, de sorte que la commande a été fermée.
    Fermé terminé
    Une demande RIR entre dans cet état après que la commande a été reçue et traitée par le fournisseur.
    Annulé
    Une demande RIR entre dans cet état après qu’un gestionnaire TPR, un évaluateur TPR ou un négociateur de contrat a annulé la demande de rapport. Si un gestionnaire TPR, un évaluateur TPR ou un négociateur de contrat doit annuler une demande, il peut le faire alors que la demande est à l’état Ouvert ou Commande en attente . Après l’annulation d’une demande RIR, cet enregistrement ne peut pas être modifié. Vous devez créer un enregistrement.