単一のサードパーティと複数のエンゲージメントを行う可能性がある理由
特定のサードパーティのオンボーディング中に、サードパーティとの異なるタイプの関係ごとに個別のエンゲージメントを実施する場合があります。サードパーティによる組織のソフトウェア開発に関連するリスクを評価するためのエンゲージメントや、サードパーティが提供する施設管理サービスの別のエンゲージメントがあります。
同じサードパーティのさまざまなエンゲージメントでは、さまざまなレベルのリスクアセスメントが必要になる場合があります
注:
エンゲージメント要求が承認された後の最初の内部ステップでは、IRQ プロセスを開始し、サードパーティのリスクスコアを決定することでリスクの範囲を設定します。
エンゲージメントは [非アクティブ] ステータスで開始されます。契約が締結されている場合、またはサードパーティとのアクティブな関係に参加している場合、エンゲージメントは [アクティブ] ステータスに移行します。
提供されるサービスの性質、機密データや重要なシステムへのアクセスレベル、および組織のインフラストラクチャへの潜在的な影響が異なるため、同じサードパーティのさまざまなエンゲージメントに対して異なるレベルのリスクアセスメントが必要になる場合があります。エンゲージメントごとに個別のリスクアセスメントを実施することで、リスク管理戦略とコントロールを調整して、各エンゲージメントに関連するリスクに効果的に対処できます。
例:サードパーティが 2 つの異なるサービスを提供します
この例では、組織は次の 2 つの異なるサービスについてサードパーティと連携します。
- サービス:ソフトウェア開発エンゲージメント
- サードパーティは、金融機関向けのカスタムソフトウェアアプリケーションの開発を担当します。このエンゲージメントでは、サードパーティが顧客の機密データにアクセスして処理し、重要なシステムと統合し、組織のインフラストラクチャに変更を導入する可能性があります。
- サービス:施設管理
- このサードパーティは、金融機関のオフィスビルの物理的なセキュリティとメンテナンスの管理も担当します。このエンゲージメントには、セキュリティ担当者の提供、アクセスコントロールシステムの管理、施設の全体的な安全性とメンテナンスの確認が含まれます。
サービスにはさまざまなリスクプロファイルがあり、個別のリスクアセスメントエンゲージメントが必要です。
- ソフトウェア開発サービスのエンゲージメント
このエンゲージメントには、次の要因により、より高いレベルのリスクが関係しています。
- 機密データへのアクセス:サードパーティは顧客データにアクセスでき、これには、不正アクセスやデータ侵害を防ぐために、厳格なデータ保護とプライバシーコントロールが要求されます。
- システム統合:サードパーティのソフトウェアは重要なシステムと統合する必要があり、それらのシステムの安定性、可用性、またはセキュリティに影響を与える可能性があります。システム障害や脆弱性のリスクを最小限に抑えるには、適切なテストと品質保証の手順が重要です。
- 変更管理:新しいソフトウェアを導入したり、既存のシステムを変更したりすると、互換性の問題、システムの中断、ソフトウェアの脆弱性などのリスクが発生する可能性があります。これらのリスクを軽減するには、強力な変更管理手法とコードレビュープロセスが必要です。
- 施設管理サービスのエンゲージメント
このエンゲージメントにも同じサードパーティが関与していますが、ソフトウェア開発エンゲージメントと比較すると、リスクプロファイルは低くなります。
- 物理的セキュリティ:ここでは、アクセス制御や監視システムなどの物理的なセキュリティ対策の管理に重点を置いています。物理セキュリティに関連するリスクは依然として重要ですが、通常、サイバーセキュリティリスクと比較してより単純で管理が容易です。
- メンテナンスと安全性:サードパーティの責任は、主に一般的なメンテナンスと安全な作業環境の推進に関連しています。建物のメンテナンスに関連するリスク (安全上の問題など) はまだありますが、ソフトウェア開発エンゲージメントにおける複雑なサイバーセキュリティリスクと比較すると、予測可能で管理しやすい可能性があります。