リスクインテリジェンスプロバイダーからのスコアの統合
リスクインテリジェンスプロバイダーは、さまざまなサードパーティリスクドメインのリスクスコアを生成します。組織は、個人のクレジットスコアに類似したデータを返すプロバイダーからサービスを購入できます。スコアは、特定のサードパーティがどの程度信頼でき、安全であるかについての洞察を提供します。
リスクインテリジェンスプロバイダーからのデータの操作
注:
サードパーティのリスクデータを要求できますが、エンゲージメントのリスクデータを要求することはできません。
- リスクインテリジェンスプロバイダーに登録した後、使用するプロバイダーの採点サービスまたは評価サービスを指定します。評価が TPRM の評価にどのようにマッピングされるかも指定します。詳細については、「リスクインテリジェンスプロバイダーを登録する」、「リスクインテリジェンスプロバイダーサービスのセットアップ」、「プロバイダーの要求タイプの設定」を参照してください。
- プロバイダーからの生のスコアを、サードパーティのプロバイダーサービスレコードに追加します。指定したマッピングを使用して、値が適切な TPRM 評価に正規化されます。詳細については、「サードパーティリスクデータにリスクインテリジェンススコアを追加する」を参照してください。
- プロバイダーベースの送信ルールは、一連の条件とアクションです。ルールでは、リスクインテリジェンスプロバイダーからの評価の更新が、ルールで指定されたアクションをトリガーする条件であることを指定できます。アクションには、サードパーティのリスクアセスメント、問題、タスク、またはメールの作成や送信があります。詳細については、「リスクインテリジェンスの更新時のアクションを自動化する」を参照してください。
統合タイプ
ServiceNow と ServiceNow のパートナーがサポートする統合タイプの例を次に示します。
-
独立系ソフトウェアベンダー (ISV) 統合タイプには、EcoVadis や Black Kite などの ISV サービスの統合が含まれます。
-
コンテンツ統合タイプには、規制データベースや業界標準などの外部コンテンツソースの統合が含まれます。
-
データ統合タイプでは、外部データソースを統合して、財務システム、セキュリティツール、ベンダー管理システムからのデータなど、関連データを収集および分析します。
-
環境、社会、ガバナンス (ESG) 統合タイプでは、ESG 要素を TPRM プロセスに組み込みます。
ServiceNow によりサポートされる統合
注:
統合アプリは ServiceNow Store にあります。
| プロバイダー | 製品名 | コンテンツ | 提供されるサービス | タイプ |
|---|---|---|---|---|
| 共有アセスメント | 標準情報収集 (SIG) アンケート | 標準アセスメント | アセスメントで使用する業界標準のアンケート。 | コンテンツ |
| EcoVadis | EcoVadis | 持続可能性評価 | 評価と継続的な監視の裏付けとなる持続可能性スコア。 | ISV、データ、ESG |
ServiceNow パートナーによりサポートされる統合
注:
統合アプリは ServiceNow Store にあります。
| プロバイダー | 製品名 | コンテンツ | ユースケース | タイプ |
|---|---|---|---|---|
| BitSight | BitSight | サイバーリスク評価 | 評価と継続的なサードパーティリスク監視の裏付けとなるサイバーリスクスコア。 | ISV、データ |
| セキュリティスコアカード | セキュリティスコアカード | サイバーリスク評価 | 評価と継続的なサードパーティリスク監視の裏付けとなるサイバーリスクスコア。 | ISV、データ |
| RiskRecon | RiskRecon | サイバーリスク評価 | 評価と継続的なサードパーティリスク監視の裏付けとなるサイバーリスクスコア。 | ISV、データ |
| Upguard | Upguard ベンダーリスク | サイバーリスク | 評価と継続的なサードパーティリスク監視の裏付けとなるサイバーリスクスコア。 | ISV、データ |
| Recorded Future | Recorded Future Intelligence | サイバーリスク評価 | 評価と継続的なサードパーティリスク監視の裏付けとなるサイバーリスクスコア。 | ISV、データ |
| Black Kite | Black Kite | サードパーティリスク管理 | テクニカルセキュリティ、財務リスク、ランサムウェア感受性指数、コンプライアンススコアを加えた全体的なセキュリティ評価。 |
ISV |
| Interos | Interos | サプライチェーンと複数のドメインの評価 | リスクアセスメントと監視をサポートするための、サイバー、財務、ESG、地政学、運用、制限の各評価。 |
ISV、コンテンツ |
| TruSight | TruSight | サードパーティのリスクアセスメント | TruSight で検証されたサードパーティリスクアセスメントへのアクセス。 |
ISV |
| cyberGRX | CyberGRX | サードパーティのリスクアセスメント | アセスメントの自動化を支援する CyberGRX のサードパーティリスク交換へのアクセス。 | ISV |
| ISS Corporate Solutions | ベンダーリスク管理の ISS ESG サイバーリスクスコア | ESG 評価 | サイバーリスクとサプライチェーンを通じて、ISS Corporate Solutions のサイバーリスク管理プログラムの包括的なビューにアクセスできます。 | ISV |
| Securitybricks | CMMC - NIST-800-171 - ベンダーコンプライアンスアセスメント | テンプレート | 連邦政府機関の自動アセスメントにアクセスできます。 | データ、コンテンツ |
| Templarshield | HECVAT-高等教育のためのアンケート | コンテンツ | 高等教育機関向けの自動アンケートにアクセスできます。 | ISV、コンテンツ |