Procedure for leverandørrisikostyringsplan

 

Introduktion

Thans Vendor Risk Management Plan har til formål at etablere en ramme for effektiv styring og afbødning af risici forbundet med tredjepartsleverandører på Hudson County Community College. Proceduren skitserer processerne og procedurerne for leverandørevaluering, udvælgelse og løbende overvågning for at sikre leverandørrelationers sikkerhed, overholdelse og pålidelighed. Proceduren fokuserer primært på at indsamle og gennemgå oplysninger om leverandørens egnethed og sikkerhed og vurdere vilkår og betingelser og kontraktsprog under indledende kontraktunderskrivelse og -fornyelse.

  1. Proces for leverandørvalg
    1. Leverandøridentifikation: Identificer potentielle leverandører baseret på kollegiets krav og behov.
    2. Indledende leverandørevaluering: Evaluer potentielle leverandører ved at bruge følgende kriterier:
      1. Kvalifikationer og ekspertise
      2. Omdømme og referencer
      3. Finansiel stabilitet
      4. Sikkerheds- og overholdelsesstandarder
      5. Service niveau aftaler
    3. Anmodning om forslag (RFP): Forbered og udsend en RFP, hvis det er nødvendigt, til udvalgte leverandører, der beskriver kollegiets forventninger, krav og evalueringskriterier.
    4. Leverandørevaluering: Evaluer leverandørforslag baseret på foruddefinerede kriterier og foretag eventuelle nødvendige interviews eller præsentationer.
    5. Leverandørvalg: Vælg leverandøren/leverandørerne baseret på evalueringsresultater under hensyntagen til faktorer som omkostninger, muligheder og risikoprofil.
  1. Higher Education Community Vendor Assessment Toolkit (HECVAT) Indsamling og gennemgang
    1. Krav til HECVAT-formular: Alle potentielle leverandører skal indsende deres udfyldte HECVAT; SOC 2-revisionsresultater kan erstatte en HECVAT.
    2. Indledende gennemgang: Gennemgå HECVAT for at vurdere leverandørernes sikkerhedspraksis, databeskyttelsesforanstaltninger og overholdelse af relevante regler.
    3. Risikovurdering: Udfør en risikovurdering baseret på oplysningerne i HECVAT for at identificere potentielle risici forbundet med leverandørforholdet.
    4. Afværgeforanstaltninger: Udvikle afværgeforanstaltninger for at imødegå identificerede risici, såsom at anmode om yderligere oplysninger, udføre sikkerhedsrevisioner eller etablere kontraktlige forpligtelser for sikkerhed og privatliv.
  2. Gennemgang af vilkår og betingelser
    1. Kontraktgennemgang: Gennemgå vilkårene og betingelserne for den foreslåede leverandørkontrakt, med fokus på områder relateret til databeskyttelse, sikkerhed, overholdelse og intellektuel ejendom.
    2. Juridisk gennemgang: Engager juridisk rådgiver, hvis det er nødvendigt, for at sikre, at kontraktsproget i tilstrækkelig grad beskytter kollegiets interesser og er i overensstemmelse med gældende love og regler.
    3. Forhandling og ændring: Samarbejd med leverandøren for at forhandle og ændre kontraktsproget for at løse eventuelle identificerede problemer eller huller.
    4. Godkendelse og underskrift: Indhent nødvendige godkendelser til kontrakten og underskriv aftalen, når alle parter er tilfredse med vilkårene og betingelserne.
  3. Løbende leverandørstyring
    1. Regelmæssig overvågning: Overvåg løbende leverandørens ydeevne, sikkerhedspraksis og overholdelse i hele kontraktens varighed.
    2. Gennemgang af kontraktfornyelse: Kontraktfornyelser er betinget af Community Colleges kontraktlovgivning. Foretag en grundig gennemgang af leverandørforhold, herunder reevaluering af ny HECVAT, vilkår og betingelser og kontraktsprog, under kontraktfornyelsesprocessen.
    3. Evaluering af leverandørens ydeevne: Vurder jævnligt leverandørens ydeevne i forhold til etablerede serviceniveauaftaler og forventninger.
    4. Incident Response: Følg Incident Response-proceduren for at løse eventuelle sikkerhedsbrud eller datahændelser, der involverer leverandører omgående.
    5. Leverandør Offboarding: Udvikl en proces for at sikre korrekt offboarding af leverandører, herunder returnering af følsomme oplysninger og afbrydelse af systemadgang.
  4. Dokumentation og rapportering
    1. Dokumentation
      1. Kontraktlager: Alle leverandørkontrakter, inklusive deres vilkår og betingelser, ændringer og relaterede dokumenter, bør gemmes i kollegiets kontraktstyringssystem. Sørg for, at kontraktlageret er organiseret, let tilgængeligt og regelmæssigt opdateret.
      2. Udfyldt HECVAT- og sikkerhedsdokumentation: Oprethold en fortegnelse over alle HECVAT'er og sikkerhedsrevisioner modtaget fra leverandører, inklusive eventuel understøttende dokumentation eller afklaringer fra leverandørerne.
      3. Risikovurderinger: Dokumenter resultaterne af risikovurderinger udført baseret på HECVAT og eventuelle yderligere vurderinger eller audits udført.
      4. Hændelsesrapporter: Før en fortegnelse over eventuelle sikkerhedshændelser eller brud, der involverer leverandører, sammen med de tilsvarende hændelseshandlinger, der er truffet.
    2. Rapportering
      1. Executive Reporting: Give regelmæssige rapporter til den administrerende ledelse, herunder Chief Information Officer (CIO) og kabinet, der opsummerer leverandørens risikolandskab, afhjælpningsindsats og bemærkelsesværdige hændelser eller bekymringer.
      2. Kontraktfornyelsesrapport: Forbered en omfattende rapport, der fremhæver resultaterne fra kontraktfornyelsesgennemgangen, inklusive eventuelle anbefalede ændringer eller forbedringer af leverandørforhold.
      3. Overholdelsesrapportering: Generer periodiske rapporter om leverandørers overholdelse af gældende regler, kontraktlige forpligtelser og aftalte sikkerhedsstandarder.
    3. Opbevaring af rekord
      1. Opbevaringsperiode: Dokumentation til risikovurdering af leverandører vil følge tidsplaner for registrering af opbevaring af leverandørrelateret dokumentation, hvilket sikrer overholdelse af lovmæssige, regulatoriske og interne krav.
      2. Databeskyttelse og databeskyttelse: Overhold gældende regler for databeskyttelse og databeskyttelse, når du opbevarer og håndterer leverandørrelaterede dokumenter, og sørg for, at der er passende sikkerhedsforanstaltninger på plads.

Godkendt af kabinettet: maj 2023
Relateret bestyrelsespolitik: Informationsteknologitjenester

Vend tilbage til Policies and Procedures