Verkoper Risikobestuursplan Prosedure

 

Inleiding

Tsy Vendor Risk Management Plan het ten doel om 'n raamwerk daar te stel vir die effektiewe bestuur en versagting van risiko's wat verband hou met derdeparty-verkopers by Hudson County Community College. Die prosedure gee 'n uiteensetting van die prosesse en prosedures vir verskafferevaluering, seleksie en deurlopende monitering om verskafferverhoudings se sekuriteit, voldoening en betroubaarheid te verseker. Die prosedure fokus hoofsaaklik op die insameling en hersiening van inligting oor die ondernemer se geskiktheid en sekuriteit en die beoordeling van bepalings en voorwaardes en kontraktaal tydens aanvanklike kontrak ondertekening en hernuwing.

  1. Verkoper seleksie proses
    1. Verkoperidentifikasie: Identifiseer potensiële verkopers op grond van die kollege se vereistes en behoeftes.
    2. Aanvanklike verkoper-evaluering: Evalueer potensiële verkopers deur die volgende kriteria te gebruik:
      1. Kwalifikasies en kundigheid
      2. Reputasie en verwysings
      3. Finansiële stabiliteit
      4. Sekuriteit en voldoeningstandaarde
      5. Diensvlakooreenkomste
    3. Versoek om Voorstel (RFP): Berei 'n RFP voor, indien nodig, aan verskaffers op die kortlys wat die kollege se verwagtinge, vereistes en evalueringskriteria uiteensit.
    4. Ondernemersevaluering: Evalueer verkopervoorstelle gebaseer op voorafbepaalde kriteria en voer enige nodige onderhoude of aanbiedings.
    5. Verkoperkeuse: Kies die verkoper(s) gebaseer op evalueringsresultate, met inagneming van faktore soos koste, vermoëns en risikoprofiel.
  1. Hoër Onderwys Gemeenskap Verkoper Assessering Toolkit (HECVAT) Insameling en Hersiening
    1. HECVAT-vormvereiste: Alle potensiële verkopers moet hul voltooide HECVAT indien; SOC 2 ouditbevindinge kan deur 'n HECVAT vervang word.
    2. Aanvanklike hersiening: Hersien die HECVAT om die verskaffers se sekuriteitspraktyke, databeskermingsmaatreëls en nakoming van relevante regulasies te assesseer.
    3. Risiko-evaluering: Doen 'n risiko-assessering gebaseer op die inligting wat in die HECVAT verskaf word om potensiële risiko's wat met die ondernemersverhouding geassosieer word, te identifiseer.
    4. Versagtende aksies: Ontwikkel versagtende aksies om geïdentifiseerde risiko's aan te spreek, soos om bykomende inligting aan te vra, sekuriteitsoudits uit te voer of kontraktuele verpligtinge vir sekuriteit en privaatheid daar te stel.
  2. Hersiening van bepalings en voorwaardes
    1. Kontrakhersiening: Hersien die bepalings en voorwaardes van die voorgestelde verkoperkontrak, en fokus op areas wat verband hou met dataprivaatheid, sekuriteit, nakoming en intellektuele eiendom.
    2. Regsoorsig: Skakel regsadviseur in, indien nodig, om te verseker dat kontraktaal die kollege se belange voldoende beskerm en in lyn is met toepaslike wette en regulasies.
    3. Onderhandeling en wysiging: Werk saam met die verkoper om te onderhandel en kontraktaal te wysig om enige geïdentifiseerde bekommernisse of leemtes aan te spreek.
    4. Goedkeuring en ondertekening: Verkry die nodige goedkeurings vir die kontrak en teken die ooreenkoms sodra alle partye tevrede is met die bepalings en voorwaardes.
  3. Deurlopende Verkoperbestuur
    1. Gereelde monitering: Monitor die verskaffer se prestasie, sekuriteitspraktyke en nakoming deurlopend deur die duur van die kontrak.
    2. Kontrakhernuwingshersiening: Kontrakhernuwings is afhanklik van Gemeenskapskollege se kontrakteregstatute. Doen 'n deeglike hersiening van ondernemerverhoudings, insluitend herevaluering van nuwe HECVAT, bepalings en voorwaardes, en kontraktaal, tydens die kontrakhernuwingsproses.
    3. Verkoperprestasie-evaluering: Evalueer periodiek verkoperprestasie teenoor gevestigde diensvlakooreenkomste en verwagtinge.
    4. Voorvalreaksie: Volg die Insidentreaksie-prosedure om enige sekuriteitsbreuke of data-insidente waarby verskaffers betrokke is, onmiddellik aan te spreek.
    5. Verkoper Offboarding: Ontwikkel 'n proses om behoorlike offboarding van verkopers te verseker, insluitend die terugstuur van sensitiewe inligting en die beëindiging van stelseltoegang.
  4. Dokumentasie en Rapportering
    1. dokumentasie
      1. Kontrakbewaarplek: Alle verskafferkontrakte, insluitend hul bepalings en voorwaardes, wysigings en verwante dokumente, moet in die kollege se kontrakbestuurstelsel gestoor word. Maak seker dat die kontrakbewaarplek georganiseer, maklik toeganklik en gereeld bygewerk is.
      2. Voltooide HECVAT- en sekuriteitsdokumentasie: Hou 'n rekord van alle HECVAT's en sekuriteitsoudits wat van verskaffers ontvang is, insluitend enige ondersteunende dokumentasie of verduidelikings wat deur die verskaffers verskaf word.
      3. Risiko-evaluerings: Dokumenteer die resultate van risiko-evaluerings wat uitgevoer is op grond van die HECVAT en enige bykomende assesserings of oudits wat uitgevoer is.
      4. Voorvalverslae: Hou rekord van enige sekuriteitsinsidente of oortredings waarby verkopers betrokke is, saam met die ooreenstemmende insidentreaksie-aksies wat geneem is.
    2. Verslagdoening
      1. Bestuursverslaggewing: Verskaf gereelde verslae aan uitvoerende bestuur, insluitend die Hoofinligtingsbeampte (CIO) en Kabinet, wat die verskafferrisiko-landskap, versagtingspogings en noemenswaardige voorvalle of bekommernisse opsom.
      2. Kontrakhernuwingsverslag: Berei 'n omvattende verslag voor wat die bevindinge van die kontrakhernuwingsoorsig beklemtoon, insluitend enige aanbevole veranderinge of verbeterings aan verkoperverhoudings.
      3. Voldoeningsverslagdoening: Genereer periodieke verslae oor verskaffers se nakoming van toepaslike regulasies, kontraktuele verpligtinge en ooreengekome sekuriteitstandaarde.
    3. Rekordbehoud
      1. Behoudtydperk: Ondernemersrisiko-evalueringsdokumentasie sal rekordbehoudskedules vir verskafferverwante dokumentasie volg, wat voldoening aan wetlike, regulatoriese en interne vereistes verseker.
      2. Dataprivaatheid en -beskerming: Voldoen aan toepaslike dataprivaatheid- en -beskermingsregulasies wanneer verskafferverwante dokumente gestoor en hanteer word, om te verseker dat behoorlike voorsorgmaatreëls in plek is.

Goedgekeur deur die Kabinet: Mei 2023
Verwante Raadsbeleid: Inligtingstegnologiedienste

Terug te keer na Policies and Procedures