Postup plánu řízení rizik dodavatele

 

Úvod

Tjeho plán řízení rizik dodavatelů si klade za cíl vytvořit rámec pro efektivní řízení a zmírňování rizik spojených s dodavateli třetích stran na Hudson County Community College. Postup popisuje procesy a postupy pro hodnocení, výběr a průběžné monitorování dodavatelů, aby byla zajištěna bezpečnost, soulad a spolehlivost vztahů s dodavateli. Postup se primárně zaměřuje na shromažďování a kontrolu informací o vhodnosti a zabezpečení dodavatele a na posouzení podmínek a smluvního jazyka při prvním podpisu a obnovení smlouvy.

  1. Proces výběru dodavatele
    1. Identifikace dodavatele: Identifikujte potenciální dodavatele na základě požadavků a potřeb vysoké školy.
    2. Počáteční hodnocení dodavatele: Vyhodnoťte potenciální dodavatele pomocí následujících kritérií:
      1. Kvalifikace a odbornost
      2. Pověst a reference
      3. Finanční stabilita
      4. Bezpečnostní normy a standardy shody
      5. Smlouvy o úrovni služeb
    3. Žádost o návrh (RFP): Připravte a vydejte RFP, je-li to nutné, dodavatelům z užšího výběru s uvedením očekávání, požadavků a kritérií hodnocení vysoké školy.
    4. Hodnocení dodavatele: Vyhodnoťte návrhy dodavatelů na základě předem definovaných kritérií a proveďte nezbytné pohovory nebo prezentace.
    5. Výběr dodavatele: Vyberte dodavatele na základě výsledků hodnocení s ohledem na faktory, jako jsou náklady, možnosti a rizikový profil.
  1. Shromažďování a revize sady nástrojů pro hodnocení dodavatelů komunit pro vysokoškolské vzdělávání (HECVAT).
    1. Požadavek na formulář HECVAT: Všichni potenciální dodavatelé musí odeslat svůj vyplněný HECVAT; Výsledky auditu SOC 2 mohou být nahrazeny HECVAT.
    2. Počáteční revize: Projděte si HECVAT, abyste posoudili bezpečnostní postupy prodejců, opatření na ochranu dat a soulad s příslušnými předpisy.
    3. Posouzení rizik: Proveďte hodnocení rizik na základě informací uvedených v HECVAT, abyste identifikovali potenciální rizika spojená se vztahem dodavatele.
    4. Opatření ke zmírnění: Vyviňte opatření ke zmírnění zjištěných rizik, jako je vyžádání dalších informací, provádění bezpečnostních auditů nebo stanovení smluvních závazků v oblasti bezpečnosti a soukromí.
  2. Přehled smluvních podmínek
    1. Přezkoumání smlouvy: Projděte si podmínky navrhované smlouvy dodavatele se zaměřením na oblasti související s ochranou osobních údajů, zabezpečením, dodržováním předpisů a duševním vlastnictvím.
    2. Právní přezkum: V případě potřeby zajistěte, aby smluvní jazyk dostatečně chránil zájmy vysoké školy a byl v souladu s platnými zákony a předpisy.
    3. Vyjednávání a dodatek: Spolupracujte s prodejcem na vyjednávání a úpravě smluvního jazyka, abyste vyřešili jakékoli zjištěné obavy nebo mezery.
    4. Schválení a podpis: Získejte potřebná schválení pro smlouvu a smlouvu podepište, jakmile budou všechny strany spokojeny s podmínkami.
  3. Průběžná správa prodejců
    1. Pravidelné monitorování: Průběžně sledujte výkon dodavatele, bezpečnostní postupy a dodržování předpisů po celou dobu trvání smlouvy.
    2. Přezkoumání obnovení smlouvy: Obnovení smlouvy závisí na statutu smluvního práva Community College. Během procesu obnovy smlouvy proveďte důkladnou kontrolu vztahů s dodavateli, včetně přehodnocení nového HECVAT, podmínek a jazyka smlouvy.
    3. Hodnocení výkonu dodavatele: Pravidelně vyhodnocujte výkon dodavatele ve srovnání se zavedenými dohodami o úrovni služeb a očekáváními.
    4. Reakce na incident: Postupujte podle postupu Reakce na incident, abyste neprodleně řešili jakékoli porušení zabezpečení nebo datové incidenty týkající se prodejců.
    5. Vendor Offboarding: Vyviňte proces pro zajištění správného offboardingu dodavatelů, včetně vrácení citlivých informací a ukončení přístupu k systému.
  4. Dokumentace a výkaznictví
    1. Dokumentace
      1. Úložiště smluv: Všechny smlouvy s dodavateli, včetně jejich podmínek, dodatků a souvisejících dokumentů, by měly být uloženy v systému správy smluv kolegia. Zajistěte, aby bylo úložiště smluv organizované, snadno dostupné a pravidelně aktualizované.
      2. Dokončené HECVAT a bezpečnostní dokumentace: Uchovávejte záznamy o všech HECVAT a bezpečnostních auditech obdržených od dodavatelů, včetně jakékoli podpůrné dokumentace nebo vysvětlení poskytnutých dodavateli.
      3. Posouzení rizik: Zdokumentujte výsledky hodnocení rizik provedených na základě HECVAT a jakýchkoli dalších provedených hodnocení nebo auditů.
      4. Hlášení o incidentech: Uchovávejte záznamy o všech bezpečnostních incidentech nebo narušeních týkajících se dodavatelů, spolu s odpovídajícími přijatými akcemi reakce na incidenty.
    2. Hlášení
      1. Executive Reporting: Poskytujte pravidelné zprávy výkonnému managementu, včetně Chief Information Officer (CIO) a kabinetu, které shrnují oblast rizik dodavatele, úsilí o zmírnění a pozoruhodné incidenty nebo obavy.
      2. Zpráva o obnovení smlouvy: Připravte komplexní zprávu zdůrazňující zjištění z kontroly obnovení smlouvy, včetně všech doporučených změn nebo vylepšení vztahů s dodavateli.
      3. Hlášení o shodě: Vytvářejte pravidelné zprávy o souladu dodavatelů s platnými předpisy, smluvními závazky a dohodnutými bezpečnostními standardy.
    3. Uchování záznamu
      1. Období uchovávání: Dokumentace hodnocení rizik dodavatele se bude řídit záznamy o uchovávání dokumentace související s dodavatelem, což zajistí soulad s právními, regulačními a interními požadavky.
      2. Soukromí a ochrana dat: Při ukládání a manipulaci s dokumenty souvisejícími s dodavateli dodržujte platné předpisy o ochraně osobních údajů a dat a zajistěte, aby byla zavedena správná ochranná opatření.

Schváleno kabinetem: květen 2023
Související zásady představenstva: Služby informačních technologií

Zpět na Policies and Procedures