Warum Sie möglicherweise mehrere Interaktionen mit einer einzelnen Drittpartei haben
Beim Onboarding einer bestimmten Drittpartei können Sie für jede Art von Beziehung, die Sie mit der Drittpartei haben, eine separate Interaktion durchführen. Eine Interaktion besteht darin, das Risiko zu bewerten, das mit der Entwicklung von Software für Ihre Organisation durch die Drittpartei verbunden ist, und eine separate Interaktion betrifft den von der Drittpartei bereitgestellten Facility-Management-Service.
Verschiedene Interaktionen derselben Drittpartei erfordern möglicherweise unterschiedliche Stufen der Risikobewertung
Verschiedene Interaktionen derselben Drittpartei können aufgrund von Variationen in der Art der bereitgestellten Services, dem Grad des Zugriffs auf vertrauliche Daten oder kritische Systeme und den potenziellen Auswirkungen auf die Infrastruktur Ihrer Organisation unterschiedliche Stufen der Risikobewertung erfordern. Indem Sie für jede Interaktion eine separate Risikobewertung durchführen, können Sie Ihre Risikomanagementstrategien und -Kontrollen so anpassen, dass sie effektiv auf die mit jeder Interaktion verbundenen Risiken reagieren.
Beispiel: Die Drittpartei stellt zwei unterschiedliche Services bereit
- Service: Softwareentwicklungsinteraktion
- Die Drittpartei ist für die Entwicklung einer anwenderdefinierten Softwareanwendung für das Finanzinstitut verantwortlich. Diese Interaktion umfasst den Zugriff der Drittpartei auf vertrauliche Kundendaten und deren Verarbeitung, die Integration in kritische Systeme und die Einführung potenziell von Änderungen an der Infrastruktur der Organisation.
- Service: Facility-Management
- Die Drittpartei ist auch für die Verwaltung der physischen Sicherheit und Wartung der Bürogebäude des Finanzinstituts verantwortlich. Diese Interaktion umfasst die Bereitstellung von Sicherheitspersonal, die Verwaltung von Zugriffssteuerungssystemen und die Bestätigung der allgemeinen Sicherheit und Wartung der Einrichtungen.
- Interaktion für den Softwareentwicklungsservice
Diese Interaktion beinhaltet aufgrund der folgenden Faktoren ein höheres Risiko:
- Zugriff auf vertrauliche Daten: Die Drittpartei hat Zugriff auf Kundendaten, was strenge Datenschutz- und Datenschutzkontrollen erfordert, um nicht autorisierten Zugriff oder Datenschutzverletzungen zu verhindern.
- Systemintegration: Die Software der Drittpartei muss in kritische Systeme integriert werden, was sich potenziell auf die Stabilität, Verfügbarkeit oder Sicherheit dieser Systeme auswirkt. Ordnungsgemäße Test- und Qualitätssicherungsverfahren sind entscheidend, um das Risiko von Systemfehlern oder -Schwachstellen zu minimieren.
- Change-Management: Die Einführung neuer Software oder Changes an vorhandenen Systemen kann Risiken wie Kompatibilitätsprobleme, Systemunterbrechungen oder Softwareschwachstellen mit sich bringen. Robuste Change-Management-Praktiken und Codeüberprüfungsprozesse sind erforderlich, um diese Risiken zu mindern.
- Interaktion für den Facility Management-Service
Auch wenn diese Interaktion auch dieselbe Drittpartei betrifft, ist das Risikoprofil im Vergleich zur Softwareentwicklungsaktion niedriger:
- Physische Sicherheit: Der Schwerpunkt liegt hier auf der Verwaltung physischer Sicherheitsmaßnahmen, z. B. Zugriffssteuerungs- und Überwachungssysteme. Obwohl sie weiterhin wichtig sind, sind die Risiken im Zusammenhang mit der physischen Sicherheit normalerweise einfacher und einfacher zu verwalten als Cybersicherheitsrisiken.
- Wartung und Sicherheit: Die Verantwortung der Drittpartei bezieht sich in erster Linie auf die allgemeine Wartung und die Förderung einer sicheren Arbeitsumgebung. Auch wenn mit der Gebäudewartung noch Risiken verbunden sind (z. B. Sicherheitsgefahren), sind sie möglicherweise vorhersehbarer und besser beherrschbar als die komplexen Cybersicherheitsrisiken im Softwareentwicklungsprojekt.