Procedimento do plano de gerenciamento de riscos do fornecedor

 

Introdução

Tseu Plano de gerenciamento de riscos de fornecedores visa estabelecer uma estrutura para gerenciar e mitigar com eficácia os riscos associados a fornecedores terceirizados no Hudson County Community College. O procedimento descreve os processos e procedimentos para avaliação, seleção e monitoramento contínuo do fornecedor para garantir a segurança, conformidade e confiabilidade do relacionamento com o fornecedor. O procedimento se concentra principalmente na coleta e revisão de informações sobre a adequação e segurança do fornecedor e na avaliação dos termos e condições e linguagem do contrato durante a assinatura e renovação inicial do contrato.

  1. Processo de Seleção de Fornecedores
    1. Identificação do fornecedor: identifique fornecedores em potencial com base nos requisitos e necessidades da faculdade.
    2. Avaliação inicial do fornecedor: Avalie os fornecedores em potencial usando os seguintes critérios:
      1. Qualificações e conhecimentos
      2. Reputação e referências
      3. Estabilidade financeira
      4. Padrões de segurança e conformidade
      5. Acordos de Nível de Serviço
    3. Solicitação de Proposta (RFP): Prepare e emita uma RFP, se necessário, para os fornecedores pré-selecionados descrevendo as expectativas, requisitos e critérios de avaliação da faculdade.
    4. Avaliação do fornecedor: avalie as propostas do fornecedor com base em critérios predefinidos e conduza as entrevistas ou apresentações necessárias.
    5. Seleção do fornecedor: selecione o(s) fornecedor(es) com base nos resultados da avaliação, considerando fatores como custo, recursos e perfil de risco.
  1. Coleta e Revisão do Conjunto de Ferramentas de Avaliação de Fornecedores Comunitários de Ensino Superior (HECVAT)
    1. Requisito do Formulário HECVAT: Todos os fornecedores em potencial devem enviar seus HECVAT preenchidos; Os resultados da auditoria SOC 2 podem ser substituídos por um HECVAT.
    2. Revisão inicial: revise o HECVAT para avaliar as práticas de segurança dos fornecedores, as medidas de proteção de dados e a conformidade com os regulamentos relevantes.
    3. Avaliação de risco: realize uma avaliação de risco com base nas informações fornecidas no HECVAT para identificar riscos potenciais associados ao relacionamento com o fornecedor.
    4. Ações de Mitigação: Desenvolver ações de mitigação para lidar com os riscos identificados, como solicitação de informações adicionais, realização de auditorias de segurança ou estabelecimento de obrigações contratuais de segurança e privacidade.
  2. Revisão dos Termos e Condições
    1. Revisão do contrato: revise os termos e condições do contrato do fornecedor proposto, concentrando-se nas áreas relacionadas à privacidade de dados, segurança, conformidade e propriedade intelectual.
    2. Revisão legal: Contrate um advogado, se necessário, para garantir que a linguagem contratual proteja adequadamente os interesses da faculdade e se alinhe com as leis e regulamentos aplicáveis.
    3. Negociação e alteração: colabore com o fornecedor para negociar e alterar a linguagem do contrato para abordar quaisquer preocupações ou lacunas identificadas.
    4. Aprovação e Assinatura: Obtenha as aprovações necessárias para o contrato e assine o acordo assim que todas as partes estiverem satisfeitas com os termos e condições.
  3. Gestão Contínua de Fornecedores
    1. Monitoramento regular: monitore continuamente o desempenho do fornecedor, as práticas de segurança e a conformidade durante toda a duração do contrato.
    2. Revisão de renovação de contrato: As renovações de contrato dependem dos Estatutos da Lei de Contratos do Community College. Realize uma revisão completa dos relacionamentos com fornecedores, incluindo a reavaliação do novo HECVAT, termos e condições e linguagem do contrato, durante o processo de renovação do contrato.
    3. Avaliação de Desempenho do Fornecedor: Avalie periodicamente o desempenho do fornecedor em relação aos acordos e expectativas de nível de serviço estabelecidos.
    4. Resposta a Incidentes: Siga o procedimento de Resposta a Incidentes para lidar imediatamente com quaisquer violações de segurança ou incidentes de dados envolvendo fornecedores.
    5. Desativação de fornecedores: Desenvolva um processo para garantir a desativação adequada de fornecedores, incluindo o retorno de informações confidenciais e o encerramento do acesso ao sistema.
  4. Documentação e relatórios
    1. Documentação
      1. Repositório de Contratos: Todos os contratos de fornecedores, incluindo seus termos e condições, emendas e documentos relacionados, devem ser armazenados no sistema de gerenciamento de contratos da faculdade. Certifique-se de que o repositório de contratos esteja organizado, facilmente acessível e atualizado regularmente.
      2. HECVAT concluído e documentação de segurança: mantenha um registro de todos os HECVATs e auditorias de segurança recebidas de fornecedores, incluindo qualquer documentação de suporte ou esclarecimentos fornecidos pelos fornecedores.
      3. Avaliações de risco: documente os resultados das avaliações de risco realizadas com base no HECVAT e quaisquer avaliações ou auditorias adicionais realizadas.
      4. Relatórios de incidentes: mantenha um registro de quaisquer incidentes ou violações de segurança envolvendo fornecedores, juntamente com as ações de resposta a incidentes correspondentes tomadas.
    2. Relatórios
      1. Relatório Executivo: Forneça relatórios regulares à gerência executiva, incluindo o Chief Information Officer (CIO) e Gabinete, resumindo o cenário de risco do fornecedor, esforços de mitigação e incidentes ou preocupações notáveis.
      2. Relatório de renovação do contrato: prepare um relatório abrangente destacando as descobertas da revisão da renovação do contrato, incluindo quaisquer alterações ou aprimoramentos recomendados nas relações com fornecedores.
      3. Relatórios de conformidade: gere relatórios periódicos sobre a conformidade dos fornecedores com os regulamentos aplicáveis, obrigações contratuais e padrões de segurança acordados.
    3. Retenção de registro
      1. Período de Retenção: A documentação da Avaliação de Risco do Fornecedor seguirá os cronogramas de retenção de registros para a documentação relacionada ao fornecedor, garantindo a conformidade com os requisitos legais, regulamentares e internos.
      2. Privacidade e proteção de dados: obedeça aos regulamentos aplicáveis ​​de privacidade e proteção de dados ao armazenar e manusear documentos relacionados ao fornecedor, garantindo que as proteções adequadas estejam em vigor.

Aprovado pelo Gabinete: maio de 2023
Política Relacionada do Conselho: Serviços de Tecnologia da Informação

Voltar para Policies and Procedures