Introdução
Tseu Plano de gerenciamento de riscos de fornecedores visa estabelecer uma estrutura para gerenciar e mitigar com eficácia os riscos associados a fornecedores terceirizados no Hudson County Community College. O procedimento descreve os processos e procedimentos para avaliação, seleção e monitoramento contínuo do fornecedor para garantir a segurança, conformidade e confiabilidade do relacionamento com o fornecedor. O procedimento se concentra principalmente na coleta e revisão de informações sobre a adequação e segurança do fornecedor e na avaliação dos termos e condições e linguagem do contrato durante a assinatura e renovação inicial do contrato.
- Processo de Seleção de Fornecedores
- Identificação do fornecedor: identifique fornecedores em potencial com base nos requisitos e necessidades da faculdade.
- Avaliação inicial do fornecedor: Avalie os fornecedores em potencial usando os seguintes critérios:
- Qualificações e conhecimentos
- Reputação e referências
- Estabilidade financeira
- Padrões de segurança e conformidade
- Acordos de Nível de Serviço
- Solicitação de Proposta (RFP): Prepare e emita uma RFP, se necessário, para os fornecedores pré-selecionados descrevendo as expectativas, requisitos e critérios de avaliação da faculdade.
- Avaliação do fornecedor: avalie as propostas do fornecedor com base em critérios predefinidos e conduza as entrevistas ou apresentações necessárias.
- Seleção do fornecedor: selecione o(s) fornecedor(es) com base nos resultados da avaliação, considerando fatores como custo, recursos e perfil de risco.
- Coleta e Revisão do Conjunto de Ferramentas de Avaliação de Fornecedores Comunitários de Ensino Superior (HECVAT)
- Requisito do Formulário HECVAT: Todos os fornecedores em potencial devem enviar seus HECVAT preenchidos; Os resultados da auditoria SOC 2 podem ser substituídos por um HECVAT.
- Revisão inicial: revise o HECVAT para avaliar as práticas de segurança dos fornecedores, as medidas de proteção de dados e a conformidade com os regulamentos relevantes.
- Avaliação de risco: realize uma avaliação de risco com base nas informações fornecidas no HECVAT para identificar riscos potenciais associados ao relacionamento com o fornecedor.
- Ações de Mitigação: Desenvolver ações de mitigação para lidar com os riscos identificados, como solicitação de informações adicionais, realização de auditorias de segurança ou estabelecimento de obrigações contratuais de segurança e privacidade.
- Revisão dos Termos e Condições
- Revisão do contrato: revise os termos e condições do contrato do fornecedor proposto, concentrando-se nas áreas relacionadas à privacidade de dados, segurança, conformidade e propriedade intelectual.
- Revisão legal: Contrate um advogado, se necessário, para garantir que a linguagem contratual proteja adequadamente os interesses da faculdade e se alinhe com as leis e regulamentos aplicáveis.
- Negociação e alteração: colabore com o fornecedor para negociar e alterar a linguagem do contrato para abordar quaisquer preocupações ou lacunas identificadas.
- Aprovação e Assinatura: Obtenha as aprovações necessárias para o contrato e assine o acordo assim que todas as partes estiverem satisfeitas com os termos e condições.
- Gestão Contínua de Fornecedores
- Monitoramento regular: monitore continuamente o desempenho do fornecedor, as práticas de segurança e a conformidade durante toda a duração do contrato.
- Revisão de renovação de contrato: As renovações de contrato dependem dos Estatutos da Lei de Contratos do Community College. Realize uma revisão completa dos relacionamentos com fornecedores, incluindo a reavaliação do novo HECVAT, termos e condições e linguagem do contrato, durante o processo de renovação do contrato.
- Avaliação de Desempenho do Fornecedor: Avalie periodicamente o desempenho do fornecedor em relação aos acordos e expectativas de nível de serviço estabelecidos.
- Resposta a Incidentes: Siga o procedimento de Resposta a Incidentes para lidar imediatamente com quaisquer violações de segurança ou incidentes de dados envolvendo fornecedores.
- Desativação de fornecedores: Desenvolva um processo para garantir a desativação adequada de fornecedores, incluindo o retorno de informações confidenciais e o encerramento do acesso ao sistema.
- Documentação e relatórios
- Documentação
- Repositório de Contratos: Todos os contratos de fornecedores, incluindo seus termos e condições, emendas e documentos relacionados, devem ser armazenados no sistema de gerenciamento de contratos da faculdade. Certifique-se de que o repositório de contratos esteja organizado, facilmente acessível e atualizado regularmente.
- HECVAT concluído e documentação de segurança: mantenha um registro de todos os HECVATs e auditorias de segurança recebidas de fornecedores, incluindo qualquer documentação de suporte ou esclarecimentos fornecidos pelos fornecedores.
- Avaliações de risco: documente os resultados das avaliações de risco realizadas com base no HECVAT e quaisquer avaliações ou auditorias adicionais realizadas.
- Relatórios de incidentes: mantenha um registro de quaisquer incidentes ou violações de segurança envolvendo fornecedores, juntamente com as ações de resposta a incidentes correspondentes tomadas.
- Relatórios
- Relatório Executivo: Forneça relatórios regulares à gerência executiva, incluindo o Chief Information Officer (CIO) e Gabinete, resumindo o cenário de risco do fornecedor, esforços de mitigação e incidentes ou preocupações notáveis.
- Relatório de renovação do contrato: prepare um relatório abrangente destacando as descobertas da revisão da renovação do contrato, incluindo quaisquer alterações ou aprimoramentos recomendados nas relações com fornecedores.
- Relatórios de conformidade: gere relatórios periódicos sobre a conformidade dos fornecedores com os regulamentos aplicáveis, obrigações contratuais e padrões de segurança acordados.
- Retenção de registro
- Período de Retenção: A documentação da Avaliação de Risco do Fornecedor seguirá os cronogramas de retenção de registros para a documentação relacionada ao fornecedor, garantindo a conformidade com os requisitos legais, regulamentares e internos.
- Privacidade e proteção de dados: obedeça aos regulamentos aplicáveis de privacidade e proteção de dados ao armazenar e manusear documentos relacionados ao fornecedor, garantindo que as proteções adequadas estejam em vigor.
Aprovado pelo Gabinete: maio de 2023
Política Relacionada do Conselho: Serviços de Tecnologia da Informação
Voltar para Policies and Procedures