Risk Intelligence-Provider-Integrationen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Die Anwendung Risikomanagement von Drittparteien bietet Unterstützung für Risk Intelligence-Provider-Integrationen. Diese Richtlinien können Ihrer Organisation helfen, eine Risk Intelligence-Provider-Integration für Risikointelligenz-Berichtsanforderungen (Risk Intelligence Report, RIR) für Drittpartei- und Due-Diligence-Anforderungen zu entwickeln.

    Integrationsanforderungen

    Die Anwendung TPRM ermöglicht Ihrer Organisation die Integration mit externen Anbietern von Risk Intelligence-Inhalten. Mit der Rolle Gutachter für Drittparteirisiken (TPR) [sn_vdr_risk_asmt.vendor_risk_assessor] oder TPR-Manager [sn_vdr_risk_asmt.vendor_risk_manager] können Sie im Formular zum Anfordern von Risk Intelligence die Punktzahlen oder Berichte für Drittparteien anfordern. Nachdem die Berichte vom Anbieter generiert wurden, werden die Links zu den Berichten in die Anwendung Risikomanagement von Drittparteien hochgeladen und mit der entsprechenden Drittpartei verknüpft.
    Hinweis:
    Vor dem Anfordern von Berichten und Punktzahlen muss ein Teammitglied mit der Rolle „TPR-Bewertungsprüfer“ [sn_vdr_risk_asmt.vendor_assessment_reviewer] die Anbieter registrieren und in der Anwendung Risikomanagement von Drittparteien sowohl die Anbieter als auch die Anforderungstypen einrichten. Weitere Informationen finden Sie unter Registrieren Sie einen Risk Intelligence-Provider, Richten Sie einen Risk Intelligence-Provider-Service ein und Richten Sie einen Anforderungstyp für einen Anbieter ein.

    Das folgende Diagramm zeigt die Flow-Status der RIR-Anforderung und ihre Beziehung zu den Integrationsanforderungen für Risk Intelligence-Anbieter.

    Abbildung : 1. RIR fordert Integration an
    Flow-Diagramm für RIR-Integration. Die Textbeschreibung finden Sie im Text nach diesem Diagramm.

    Integrationsprozess:

    1. Alle RIR-Anforderungen im Status Auftrag ausstehend sind bereit zum Senden an den Risk Intelligence-Anbieter.
    2. Ein nächtlicher Auftrag wird von der Integrations-API eingerichtet, um nach den Datensätzen der Berichtsanforderung zu suchen, die sich im Status „Auftrag ausstehend“ befinden.
    3. Die Integrations-API aktualisiert den Datensatzstatus der RIR-Anforderung in „Bestellung in Bearbeitung“.

    4. Die Integrations-API sendet ein Paket an den Anbieter, das die Namen der Datensätze und die entsprechenden Quelltabellen enthält:

      • rir_sysid [sn_tprm_dd_risk_intel_request]
      • provider_sysid [sn_vdr_risk_asmt_tpss_provider_basic]
      • third_party_sysid [core_company]
      • third_party_name [core_company]
      • request_type_sysid [sn_tprm_dd_risk_intel_request_type]
      • request_type_name [sn_tprm_dd_risk_intel_request_type]
      • provider_service_sysid [sn_vdr_risk_asmt_tpss_provider]
    5. Wenn das Paket nicht erfolgreich gesendet wird, aktualisiert die Integrations-API den Status der RIR-Anforderung in „Unvollständig geschlossen“.
    6. Nach Erhalt der RIR-Anforderung verarbeitet der Risk Intelligence-Anbieter diese und sammelt Informationen wie URL, Punktzahl und Inhalt.
    7. Der Risk Intelligence-Provider gibt ein Paket zum Hochladen in die Anwendung Risikomanagement von Drittparteien zurück.

      Das Paket enthält die folgenden Namen der Datensätze, die entsprechenden Quelltabellen und den folgenden Inhalt:

      • rir_sysid [sn_tprm_dd_risk_intel_request]
      • provider_sysid [sn_vdr_risk_asmt_tpss_provider_basic]
      • third_party_sysid [core_company]
      • request_type_sysid [sn_tprm_dd_risk_intel_request_type]
      • provider_service_sysid [sn_vdr_risk_asmt_tpss_provider]
      • URL
      • Punktzahl
      • rating
      • Content
      Hinweis:
      Die Punktzahl oder Bewertung muss die Punktzahl oder Bewertung des Anbieters sein. Der Anbieter muss eine Zuordnung eingerichtet haben, um die Punktzahl des Anbieters über einen Anbieterservice-Datensatz in eine ServiceNow -Punktzahl zu konvertieren.

    8. Anhand der Paketinformationen erstellt die Integrations-API einen Risikointelligenz-Punktzahldatensatz [sn_vdr_risk_asmt_security_score] und füllt das URL-Feld aus. Diese URL wird verwendet, um die Berichte herunterzuladen und an den zugehörigen RIR-Anforderungsdatensatz [sn_tprm_dd_risk_intel_request] anzuhängen.

    9. Die Integrations-API aktualisiert den Status der RIR-Anforderung von Auftrag in Bearbeitung auf Geschlossen – vollständig oder Geschlossen – unvollständig, je nachdem, ob der Risk Intelligence-Anbieter den Bericht abschließt oder nicht sendet und beschließt, den Auftrag zu schließen.

    Einschränkungen

    Die Integrations-API aktualisiert den Punktzahldatensatz in der Punktzahltabelle nicht. Wenn die API beim Erstellen eines Punktzahldatensatzes ein Feld nicht ausfüllt, wird ein neuer Punktzahldatensatz erstellt, anstatt den vorhandenen Datensatz zu aktualisieren. Wenn die API beispielsweise einer RIR-Anforderung keine Punktzahl zugeordnet hat, muss sie die API erneut aufrufen, um eine neue Punktzahl zu erstellen und sie der RIR-Anforderung zuzuordnen.

    Status der Risikointelligenz-Berichtsanforderung

    Die Risikointelligenz-Berichtsanforderungen haben die folgenden Status:

    Offen
    Eine RIR-Anforderung geht in diesen Status über, nachdem der Datensatz vom Manager für Drittparteirisiken (TPR), TPR-Gutachter oder Vertragsverhandler, der der Sorgfaltspflicht-Anforderung zugewiesen ist, erstellt und gespeichert wurde. Für jede Risikointelligenz-Anforderung weist das System automatisch eine eindeutige ID-Nummer zu, die mit dem Text RIR beginnt.
    Auftrag ausstehend
    Eine RIR-Anforderung geht in diesen Status über, nachdem der Datensatz vom Manager für Drittparteirisiken (TPR), TPR-Gutachter oder Vertragsverhandler, der der Sorgfaltspflicht-Anforderung zugewiesen ist, übermittelt wurde.

    Die folgenden Changes finden statt:

    • Die Bestellung wurde an den Anbieter übermittelt.
    • Das Feld „Anforderungsdatum“ wurde mit dem Datum ausgefüllt, an dem dieser Datensatz übermittelt wurde.
    • Alle Felder im Abschnitt „Risk Intelligence-Berichtsanforderung“ sind schreibgeschützt.
    Auftrag in Bearbeitung
    Eine RIR-Anforderung geht in diesen Status über, nachdem die Bestellung beim Anbieter eingegangen ist.

    Die folgenden Changes finden statt:

    • Die Punktzahldatensätze werden mit der Berichtsanforderung generiert.
    • Das Feld Punktzahl generiert am wird aktualisiert.
    Unvollständig geschlossen
    Eine RIR-Anforderung geht in diesen Status über, nachdem die Bestellung beim Anbieter eingegangen ist, konnte jedoch aufgrund eines Fehlers nicht verarbeitet werden, sodass die Bestellung geschlossen wurde.
    Abgeschlossen
    In diesen Status geht eine RIR-Anforderung über, nachdem die Bestellung vom Anbieter empfangen und verarbeitet wurde.
    Abgebrochen
    Eine RIR-Anforderung geht in diesen Status über, nachdem ein TPR-Manager, TPR-Gutachter oder Vertragsverhandler die Berichtsanforderung abgebrochen hat. Wenn ein TPR-Manager, TPR-Gutachter oder Vertragsverhandler eine Anforderung abbrechen muss, kann dies durchgeführt werden, während sich die Anforderung im Status Offen oder Auftrag ausstehend befindet. Nachdem eine RIR-Anforderung abgebrochen wurde, kann dieser Datensatz nicht bearbeitet werden. Sie müssen einen Datensatz erstellen.