ベンダーリスク管理

ベンダーリスク管理部門は、ベンダー関係から生じる可能性のあるリスクを許容できるレベルに特定および軽減することを目的とした、エンタープライズ全体のベンダー管理プログラムを確立、実施、管理、施行する責任を負います。ここに定義されたベンダーリスク管理プログラムは、次の活動を含みます：

調達

最低限のベンダー評価および検証要件は調達プロセス内で定義されています。調達管理には以下が含まれます：

• デューデリジェンス - 提供者が提案されたサービスに必要な適切な保護措置、財務の安定性、および可用性を維持できることを確認するために、潜在的なベンダーの初期レビューを実施します。

• ベンダー分類 - サービスの範囲、重要度、およびサービス提供に必要な情報の機密性に基づいてベンダーの分類を定義します。

• 契約上の要件 - ベンダー契約に、情報セキュリティプログラムの義務、データの所有権および管理権を取得する権利を定義する必要な契約条項が含まれていることを確保します。

監視

ベンダー関係が開始された後、Flosumは継続的かつ対象を絞った監視活動を実施します。監視活動の範囲と程度はベンダーの分類によって決定されます。監視活動は、ベンダーの義務が履行されていること、財務状況が安定していること、ベンダーの管理策が期待どおりに機能していること、ならびにベンダーのリスク状況に悪影響を与えるか変更するような変化が生じていないことを確認するよう設計されています。年次ベースで、詳細な管理評価の結果は各ベンダーと再確認され、ベンダーの分類およびベンダーの管理環境が初期評価から変更されていないことを検証します。