VRMサードパーティレコードを作成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • 組織が関与するサードパーティの主要なデータと連絡先情報を設定します。

    始める前に

    サードパーティのポートフォリオを更新する前にシステムアドミニストレーターにお問い合わせください。

    必要なロール:sn_vdr_risk_asmt.vendor_risk_manager または sn_vdr_risk_asmt.vendor_risk_admin

    このタスクについて

    新しいレコードの追加に加え、TPR マネージャーは、リスクセキュリティのスコア、リスク階層、重要なサードパーティの連絡先、サードパーティが実施するビジネスサービスといったサードパーティ情報を、継続的に更新します。

    スプレッドシートからサードパーティデータのインポート、オンボーディングシステムからのデータ統合、ベンダーテーブルからのデータインポートを行えます。

    手順

    1. プロセスを開始するには、次のいずれかの方法を使用します。
      • ベンダー管理ワークスペースで、リストアイコン ( リスト.) をクリックし、 サードパーティ > すべてのサードパーティ.
      • 移動先 すべて > サードパーティリスク管理 > すべてのサードパーティ.
    2. [新規] をクリックして、各フィールドに入力します。
      表 : 1. [サードパーティ] フォーム
      フィールド 説明
      名前 サードパーティの名前。
      Web サイト サードパーティの URL。
      DUNS 番号 単一のビジネスエンティティの一意の数値識別子。DUNS 番号は企業にとって法的に必須ではありません。
      業界 業界のタイプ。
      ベンダータイプ サードパーティが提供する製品やサービスのタイプを指定します。
      サードパーティ階層を設定し、このサードパーティが子会社である場合は、親サードパーティを選択します。
      合計年間消費量 このサードパーティに毎年費やすと予想される金額。
      セキュリティスコア リスクインテリジェンスプロバイダーに提供されるセキュリティスコア。
      スコアプロバイダー 正規化されたセキュリティスコアを提供したリスクインテリジェンスプロバイダー。
      ステータス サードパーティのステータス。
      契約開始日 契約したエンゲージメントを開始する日付。
      リスク評価 サードパーティリスクアセスメント応答を受信すると、コンポーネント (つまり、アセスメント、エンゲージメント、および子会社のリスク評価) の加重平均が計算されてこの値になります。詳細については、「サードパーティの階層とエンゲージメント VRM の設定」を参照してください。
      ランク サプライヤーのタイプ。
      サードパーティ階層 階層スコアをリスク層にマッピングすることによって計算された、サードパーティのリスク層。
      ベンダーマネージャー このサードパーティを管理するためにアサインされた従業員。
      事業主 日常業務でこのサードパーティを使用する従業員。
      メモ 追加情報。
      [連絡先] タブ
      番地 サードパーティの所在地の番地。
      市区町村 サードパーティの所在地の市区町村。
      都道府県 サードパーティの所在地の都道府県。
      郵便番号 サードパーティの所在地の郵便番号。
      サードパーティの国。
      電話 サードパーティの電話番号。
      FAX サードパーティのファックス番号。
      [プロファイル] タブ
      株式公開 サードパーティが株式公開されているかどうか。
      在庫記号 サードパーティの銘柄記号。
      1 年あたりの収益 サードパーティの年間収益。
      従業員数 サードパーティの従業員数。
      バナーイメージ サードパーティのバナー画像。
      バナーテキスト サードパーティのバナーテキスト。
      [リスクスコアリング] タブ
      計算済みリスク評価 サードパーティリスク領域のリスク評価の平均。
      リスク評価を上書き サードパーティの計算されたリスク評価を上書きできます。
      アセスメントリスク評価

      計算されたリスクアセスメント評価。 リスク評価スケールは、ビジネスユーザーがリスクアセスメント結果をよりよく理解するのに役立ちます。たとえば、デフォルト設定では、20 ~ 39 のリスクスコアは高リスクを示し、60 ~ 79 のスコアは低リスクを示します。
      エンゲージメントリスク評価

      計算されたエンゲージメント評価。 リスク評価スケールは、ビジネスユーザーがリスクアセスメント結果をよりよく理解するのに役立ちます。たとえば、デフォルト設定では、20 ~ 39 のリスクスコアは高リスクを示し、60 ~ 79 のスコアは低リスクを示します。

      子会社のリスク評価

      子サードパーティのリスク評価

      子会社の計算済みリスク評価。 リスク評価スケールは、ビジネスユーザーがリスクアセスメント結果をよりよく理解するのに役立ちます。たとえば、デフォルト設定では、20 ~ 39 のリスクスコアは高リスクを示し、60 ~ 79 のスコアは低リスクを示します。
      リスクインテリジェンス評価 リスクインテリジェンスプロバイダーからのスコアの統合」を参照してください。
      優先リスク評価 [リスク評価を上書き] を選択した場合、新しいリスク評価を入力します。
      上書き日 [リスク評価を上書き] を選択した場合は、上書きが発生した日付。
      正当性 [リスク評価を上書き] を選択した場合、上書きの理由を入力する必要があります。
    3. サードパーティリスク管理 が他の GRC アプリケーションと統合されている場合、またはベンダー階層 (つまり、サードパーティリスクドメイン、コンポーネント基準、およびリスク採点ルール) を設定している場合は、フォームに次の関連リストの一部またはすべてを含めることができます。

      詳細については、「サードパーティの階層とエンゲージメント VRM の設定」を参照してください。

      注:
      リスクドメインは、一部のプラットフォームアプリケーションでは「リスク領域」と呼ばれます。
      • 子ベンダー:このテーブルには、子会社のすべての情報が格納されます。子会社のリスク評価は自動的に集計され、[サードパーティ] フォームの [リスク評価] タブに表示されます。
      • ベンダー連絡先:このテーブルには、すべてのサードパーティステークホルダーの情報が保存されます。通常、顧客はサードパーティの主要連絡先 1 つとセカンダリ連絡先 1 つ以上を作成します。プライマリ連絡先が、他の連絡先をリストに追加します。
      • [ビジネスサービス]:サービステーブルは CMDB の一部です。サードパーティを、そのサードパーティが提供するサービスに関連付けます。たとえば、IT チームが「ビデオ会議サービス」と呼ばれるサービスを所有しており、これを社内の従業員が社内および顧客と通信するために使用するとします。そのビジネスサービスには、自社でビルドするのではなく、Zoom から提供されるサービスを使用すると決定しました。
      • ベンダーエンゲージメント:このテーブルには、サードパーティのすべてのエンゲージメント情報が保存されます。エンゲージメントリスク評価は自動的に集計され、サードパーティフォームの [リスク評価] タブに表示されます。
      • 階層アセスメント:このテーブルには階層アセスメントの履歴が保存されます。
      • 繰り返しアセスメント:このテーブルには繰り返しアセスメントの履歴が保存されます。
      • アセスメント:このテーブルにはアセスメントの履歴が保存されます。アセスメントリスク評価は自動的に集計され、サードパーティフォームの [リスク評価] タブに表示されます。
      • ベンダーリスクコンポーネント:このテーブルには、すべてのサードパーティリスクコンポーネントが格納されます。サードパーティリスクコンポーネント (つまり、アセスメント、エンゲージメント、または子会社) が存在する場合、そのリスク評価が自動的に集計され、サードパーティフォームの [リスク評価] タブに表示されます。
      • 問題: このテーブルには、問題の履歴が保存されます。
      • タスク: このテーブルには、タスクの履歴が保存されます。